PrivateLoader Trojan
Onbekende cybercriminelen bieden andere hacker-outfits een krachtige loader-stam aan in een pay-per-install-schema. Dit betekent dat de makers van de dreiging betalingen van hun klanten ontvangen, gebaseerd op het aantal slachtoffers en succesvol gehackte apparaten. De dreiging wordt gevolgd als PrivateLoader en wordt sinds ten minste mei 2021 gebruikt bij aanvalsoperaties.
Loader-malware-stammen worden meestal gebruikt in de vroege stadia van de aanvallen en fungeren als een leveringssysteem voor meer bedreigende corrupte payloads in de volgende fase. Als het specifiek om PrivateLoader gaat, is waargenomen dat Smokeloader- , Redline- en Vidar -varianten worden opgehaald en geïmplementeerd.
Smokeloader heeft vergelijkbare loader-functionaliteit, maar het kan ook gegevensdiefstal en verkenningsactiviteiten uitvoeren. Vidar is geclassificeerd als spyware en is in staat om verschillende gegevens te extraheren, zoals wachtwoorden, gevoelige documenten en digitale portemonnee-gegevens. Wat Redline betreft, het is een bedreiging, die is gericht op het verzamelen van inloggegevens van slachtoffers.
Distributie en details
Volgens een rapport gepubliceerd door de onderzoekers van Intel 471, wordt PrivateLoader voornamelijk verspreid via gecompromitteerde downloadsites en gekraakte softwareproducten. Deze bewapende versies van populaire softwareapplicaties kunnen worden gebundeld met zogenaamde key generators, programma's waarmee gebruikers illegaal de volledige functionaliteit van specifieke applicaties kunnen ontgrendelen zonder te betalen voor een certificaat of abonnement.
De initiële vector van het omvatten kan een JavaScript zijn dat wordt geactiveerd bij het klikken op de downloadknoppen op de geschonden websites. Als gevolg hiervan wordt een gecompromitteerd .ZIP-archief op het systeem van de gebruiker geplaatst. Het bevat een uitvoerbaar bestand dat bij lancering verschillende malwarebedreigingen zal veroorzaken, waaronder PrivateLoader.
Het beheer van de dreiging wordt uitgevoerd via een beheerderspaneel dat is gemaakt met AdminLTE 3. De aanvallers kunnen de via de lader geleverde payload, de beoogde locaties en landen, de downloadlinks voor de bedreigende payload, de gebruikte codering voor communicatie met de Commando kiezen. and-Control (C2, C&C) servers en meer.
