PrivateLoader Trojan
Okända cyberbrottslingar har erbjudit en kraftfull loader-stam till andra hackeroutfits i ett system med betalning per installation. Detta innebär att skaparna av hotet får betalningar från sina kunder, baserat på antalet offer och framgångsrika intrångsenheter. Hotet spåras som PrivateLoader och har använts i attackoperationer sedan åtminstone maj 2021.
Skadlig programvara för lastare används vanligtvis i de tidiga stadierna av attackerna och fungerar som ett leveranssystem för mer hotfulla, skadade nyttolaster i nästa steg. När det kommer till PrivateLoader specifikt, har det observerats att hämta och distribuera Smokeloader, Redline och Vidar -varianter.
Smokeloader har liknande lastarfunktioner men den kan också utföra datastöld och spaningsaktiviteter. Vidar klassas som spionprogram och kan extrahera olika data, såsom lösenord, känsliga dokument och digitala plånboksdetaljer. När det gäller Redline är det ett hot, som är inriktat på att samla in offrens referenser.
Distribution och detaljer
Enligt en rapport som publicerats av forskarna vid Intel 471 distribueras PrivateLoader mestadels genom komprometterade nedladdningssidor och knäckta mjukvaruprodukter. Dessa beväpnade versioner av populära mjukvaruapplikationer kan paketeras tillsammans med förmodade nyckelgeneratorer, program som tillåter användare att olagligt låsa upp alla funktioner hos specifika applikationer utan att betala för ett certifikat eller prenumeration.
Den initiala vektorn för att omfatta kan involvera ett JavaScript som utlöses när du klickar på nedladdningsknapparna på de kränkta webbplatserna. Som ett resultat kommer ett äventyrat .ZIP-arkiv att släppas på användarens system. Den kommer att innehålla en körbar fil som när den lanseras kommer att utlösa flera skadliga hot, inklusive PrivateLoader.
Hantering av hotet utförs via en administratörspanel skapad med AdminLTE 3. Angriparna kan välja nyttolasten som levereras via laddaren, de riktade platserna och länderna, nedladdningslänkarna för den hotande nyttolasten, den använda krypteringen för kommunikation med kommando- and-Control (C2, C&C) servrar och mer.
