PrivateLoader Trojan
Cibercriminosos desconhecidos têm oferecido um poderoso loader para outras equipes de hackers em um esquema de pagamento por instalação. Isso significa que os criadores da ameaça recebem pagamentos de seus clientes, com base no número de vítimas e dispositivos violados com sucesso. A ameaça está sendo rastreada como PrivateLoader e tem sido usada em operações de ataque desde pelo menos maio de 2021.
Os tipos de malware do carregador são normalmente usados nos estágios iniciais dos ataques e atuam como um sistema de entrega para cargas corrompidas mais ameaçadoras de próximo estágio. Quando se trata especificamente do PrivateLoader, observou-se que ele busca e implanta as variantes Smokeloader, Redline e Vidar.
O Smokeloader possui funcionalidade de carregador semelhante, mas também pode realizar atividades de roubo de dados e reconhecimento. O Vidar é classificado como spyware e é capaz de extrair diversos dados, tais como senhas, documentos confidenciais e detalhes da carteira digital. Quanto ao Redline, é uma ameaça, que se concentra em coletar as credenciais das vítimas.
Distribuição e Detalhes
De acordo com um relatório publicado pelos pesquisadores da Intel 471, o PrivateLoader é distribuído principalmente por meio de sites de download comprometidos e produtos de software crackeados. Essas versões armadas de aplicativos de software populares podem ser agrupadas ao lado de supostos geradores de chaves, programas que permitem aos usuários desbloquear ilegalmente a funcionalidade completa de aplicativos específicos sem pagar por um certificado ou assinatura.
O vetor inicial de inclusão pode envolver um JavaScript acionado ao clicar nos botões de download nos sites violados. Como resultado, um arquivo .ZIP comprometido será descartado no sistema do usuário. Ele conterá um arquivo executável que, ao ser lançado, acionará várias ameaças de malware, incluindo o PrivateLoader.
O gerenciamento da ameaça é realizado por meio de um painel de administrador criado com AdminLTE 3. Os invasores podem escolher a carga entregue pelo carregador, os locais e países visados, os links de download da carga ameaçadora, a criptografia usada para comunicação com o Command- e-Control (C2, C&C) servidores e muito mais.
