PrivateLoader 트로이 목마

알려지지 않은 사이버 범죄자들이 설치당 지불 방식으로 다른 해커 복장에 강력한 로더 변형을 제공하고 있습니다. 이는 위협의 작성자가 피해자의 수와 성공적으로 침해된 장치에 따라 고객으로부터 지불을 받는다는 것을 의미합니다. 이 위협은 PrivateLoader로 추적되고 있으며 최소 2021년 5월부터 공격 작업에 사용되었습니다.

로더 맬웨어 변종은 일반적으로 공격의 초기 단계에서 사용되며 보다 위협적인 다음 단계의 손상된 페이로드에 대한 전달 시스템 역할을 합니다. 특히 PrivateLoader와 관련하여 Smokeloader , Redline 및 Vidar 변종을 가져와 배포하는 것으로 관찰되었습니다.

Smokeloader는 유사한 로더 기능을 가지고 있지만 데이터 도난 및 정찰 활동도 수행할 수 있습니다. Vidar는 스파이웨어로 분류되며 비밀번호, 민감한 문서 및 디지털 지갑 세부 정보와 같은 다양한 데이터를 추출할 수 있습니다. 레드라인의 경우 피해자의 신상정보 수집에 초점을 맞춘 위협이다.

배포 및 세부 정보

Intel 471의 연구원이 발표한 보고서에 따르면 PrivateLoader는 대부분 손상된 다운로드 사이트와 크랙된 소프트웨어 제품을 통해 배포됩니다. 인기 있는 소프트웨어 응용 프로그램의 무기화된 버전은 사용자가 인증서나 구독에 대한 비용을 지불하지 않고 특정 응용 프로그램의 전체 기능을 불법적으로 잠금 해제할 수 있도록 하는 프로그램인 키 생성기와 함께 번들로 제공될 수 있습니다.

구성의 초기 벡터에는 침해된 웹사이트에서 다운로드 버튼을 클릭할 때 실행되는 JavaScript가 포함될 수 있습니다. 결과적으로 손상된 .ZIP 아카이브가 사용자 시스템에 삭제됩니다. 여기에는 실행 시 PrivateLoader를 포함하여 여러 맬웨어 위협을 유발하는 실행 파일이 포함됩니다.

위협 관리는 AdminLTE 3로 생성된 관리자 패널을 통해 수행됩니다. 공격자는 로더를 통해 전달되는 페이로드, 대상 위치 및 국가, 위협하는 페이로드의 다운로드 링크, Command- 및-제어(C2, C&C) 서버 등.