PrivateLoader Trojan

Nieznani cyberprzestępcy oferują potężną odmianę programu ładującego innym firmom hakerskim w systemie płatności za instalację. Oznacza to, że twórcy zagrożenia otrzymują płatności od swoich klientów w oparciu o liczbę ofiar i pomyślnie włamanych urządzeń. Zagrożenie jest śledzone jako PrivateLoader i było wykorzystywane w operacjach ataku co najmniej od maja 2021 r.

Odmiany złośliwego oprogramowania ładującego są zwykle używane na wczesnych etapach ataków i działają jako system dostarczania bardziej groźnych, uszkodzonych ładunków następnego etapu. Jeśli chodzi konkretnie o PrivateLoader, zaobserwowano pobieranie i wdrażanie wariantów Smokeloader, Redline i Vidar.

Smokeloader posiada podobną funkcjonalność ładowacza, ale może również wykonywać czynności związane z kradzieżą danych i rozpoznaniem. Vidar jest klasyfikowany jako oprogramowanie szpiegujące i potrafi wydobywać różne dane, takie jak hasła, poufne dokumenty i dane dotyczące portfela cyfrowego. Jeśli chodzi o Redline, jest to zagrożenie, które koncentruje się na zbieraniu danych uwierzytelniających ofiar.

Dystrybucja i szczegóły

Według raportu opublikowanego przez badaczy z Intel 471, PrivateLoader jest w większości dystrybuowany za pośrednictwem zhakowanych witryn pobierania i złamanego oprogramowania. Te uzbrojone wersje popularnych aplikacji mogą być dołączane do rzekomych generatorów kluczy, programów, które umożliwiają użytkownikom nielegalne odblokowanie pełnej funkcjonalności określonych aplikacji bez płacenia za certyfikat lub subskrypcję.

Początkowy wektor zawierania może obejmować JavaScript uruchamiany po kliknięciu przycisków pobierania na naruszonych stronach internetowych. W rezultacie zhakowane archiwum .ZIP zostanie umieszczone w systemie użytkownika. Będzie zawierał plik wykonywalny, który po uruchomieniu wywoła kilka zagrożeń złośliwym oprogramowaniem, w tym PrivateLoader.

Zarządzanie zagrożeniem odbywa się za pomocą panelu administratora utworzonego za pomocą AdminLTE 3. Atakujący mogą wybrać ładunek dostarczony przez moduł ładujący, docelowe lokalizacje i kraje, łącza do pobierania zagrażającego ładunku, używane szyfrowanie do komunikacji z dowództwem- and-Control (C2, C&C) i nie tylko.