Троян PrivateLoader

Неизвестные киберпреступники предлагали другим хакерским группировкам мощный загрузчик по схеме с оплатой за установку. Это означает, что создатели угрозы получают платежи от своих клиентов в зависимости от количества жертв и успешно взломанных устройств. Угроза отслеживается как PrivateLoader и используется в атаках как минимум с мая 2021 года.

Штаммы вредоносных программ-загрузчиков обычно используются на ранних стадиях атак и действуют как система доставки для более опасных поврежденных полезных нагрузок на следующем этапе. Что касается конкретно PrivateLoader, было замечено, что он извлекает и развертывает варианты Smokeloader , Redline и Vidar .

Smokeloader обладает аналогичной функциональностью загрузчика, но также может выполнять кражу данных и разведку. Vidar классифицируется как шпионское ПО и способен извлекать различные данные, такие как пароли, конфиденциальные документы и данные цифрового кошелька. Что касается Redline, то это угроза, ориентированная на сбор учетных данных жертв.

Распространение и подробности

Согласно отчету, опубликованному исследователями из Intel 471, PrivateLoader в основном распространяется через скомпрометированные сайты загрузки и взломанные программные продукты. Эти вооруженные версии популярных программных приложений могут поставляться вместе с предполагаемыми генераторами ключей, программами, которые позволяют пользователям незаконно разблокировать полную функциональность определенных приложений, не платя за сертификат или подписку.

Первоначальный вектор заражения может включать запуск JavaScript при нажатии кнопки загрузки на взломанных веб-сайтах. В результате скомпрометированный ZIP-архив будет сброшен в систему пользователя. Он будет содержать исполняемый файл, который при запуске вызовет несколько вредоносных программ, включая PrivateLoader.

Управление угрозой осуществляется через панель администратора, созданную с помощью AdminLTE 3. Злоумышленники могут выбирать полезную нагрузку, доставляемую через загрузчик, целевые местоположения и страны, ссылки для загрузки угрожающей полезной нагрузки, используемое шифрование для связи с командованием. серверы управления и контроля (C2, C&C) и многое другое.