PrivateLoader Trojan
I criminali informatici sconosciuti hanno offerto un potente carico di caricamento ad altri gruppi di hacker in uno schema pay-per-install. Ciò significa che i creatori della minaccia ricevono pagamenti dai propri clienti, in base al numero di vittime e ai dispositivi violati con successo. La minaccia viene tracciata come PrivateLoader ed è stata utilizzata nelle operazioni di attacco almeno da maggio 2021.
I ceppi di malware del caricatore vengono in genere utilizzati nelle prime fasi degli attacchi e fungono da sistema di distribuzione per payload corrotti più minacciosi nella fase successiva. Quando si tratta di PrivateLoader in particolare, è stato osservato che recupera e distribuisce le varianti Smokeloader, Redline e Vidar.
Smokeloader possiede funzionalità di caricatore simili ma può anche eseguire attività di furto di dati e ricognizione. Vidar è classificato come spyware ed è in grado di estrarre vari dati, come password, documenti sensibili e dettagli del portafoglio digitale. Per quanto riguarda Redline, è una minaccia, che si concentra sulla raccolta delle credenziali delle vittime.
Distribuzione e dettagli
Secondo un rapporto pubblicato dai ricercatori di Intel 471, PrivateLoader è distribuito principalmente attraverso siti di download compromessi e prodotti software crackati. Queste versioni armate di applicazioni software popolari possono essere raggruppate insieme a presunti generatori di chiavi, programmi che consentono agli utenti di sbloccare illegalmente la piena funzionalità di applicazioni specifiche senza pagare un certificato o un abbonamento.
Il vettore iniziale di inclusione potrebbe comportare un JavaScript attivato facendo clic sui pulsanti di download sui siti Web violati. Di conseguenza, un archivio .ZIP compromesso verrà eliminato nel sistema dell'utente. Conterrà un file eseguibile che, una volta lanciato, attiverà diverse minacce malware, incluso PrivateLoader.
La gestione della minaccia viene effettuata tramite un pannello di amministrazione creato con AdminLTE 3. Gli aggressori possono prelevare il payload consegnato tramite il caricatore, le località e i paesi presi di mira, i collegamenti per il download del payload minaccioso, la crittografia utilizzata per la comunicazione con il Command- e-Control (C2, C&C) server e altro ancora.
