Trojanec PrivateLoader

Neznani kibernetski kriminalci so ponujali močan nakladalni sev drugim hekerskim organizacijam v shemi plačila na namestitev. To pomeni, da ustvarjalci grožnje prejemajo plačila od svojih strank na podlagi števila žrtev in uspešno vdornih naprav. Grožnja se spremlja kot PrivateLoader in se uporablja v napadih vsaj od maja 2021.

Sevi zlonamerne programske opreme Loader se običajno uporabljajo v zgodnjih fazah napadov in delujejo kot sistem dostave za bolj ogrožene poškodovane koristne obremenitve v naslednji fazi. Ko gre posebej za PrivateLoader, je bilo ugotovljeno, da pridobi in uvede različice Smokeloader , Redline in Vidar .

Smokeloader ima podobno funkcionalnost nakladalnika, vendar lahko izvaja tudi krajo podatkov in izvidniške dejavnosti. Vidar je razvrščen kot vohunska programska oprema in je sposoben ekstrahirati različne podatke, kot so gesla, občutljivi dokumenti in podatki o digitalni denarnici. Kar zadeva Redline, gre za grožnjo, ki je osredotočena na zbiranje poverilnic žrtev.

Distribucija in podrobnosti

Glede na poročilo, ki so ga objavili raziskovalci pri Intel 471, se PrivateLoader večinoma distribuira prek ogroženih spletnih mest za prenos in počenih programskih izdelkov. Te oborožene različice priljubljenih programskih aplikacij so lahko združene skupaj z domnevnimi generatorji ključev, programi, ki uporabnikom omogočajo nezakonito odklepanje celotne funkcionalnosti določenih aplikacij, ne da bi morali plačati potrdilo ali naročnino.

Začetni vektor sestavljanja bi lahko vključeval JavaScript, ki se sproži ob kliku gumbov za prenos na poškodovanih spletnih mestih. Posledično bo ogrožen arhiv .ZIP izpuščen v uporabnikov sistem. Vseboval bo izvedljivo datoteko, ki bo ob zagonu sprožila več groženj zlonamerne programske opreme, vključno z PrivateLoader.

Upravljanje grožnje se izvaja preko skrbniške plošče, ki je ustvarjena z AdminLTE 3. Napadalci lahko izberejo koristno obremenitev, dostavljeno prek nalagalnika, ciljne lokacije in države, povezave za prenos grozečega tovora, uporabljeno šifriranje za komunikacijo z ukazom. and-Control (C2, C&C) strežniki in še več.