โทรจัน PrivateLoader

อาชญากรไซเบอร์ที่ไม่รู้จักได้เสนอตัวโหลดที่ทรงพลังให้กับชุดแฮ็กเกอร์รายอื่นในรูปแบบจ่ายต่อการติดตั้ง ซึ่งหมายความว่าผู้สร้างภัยคุกคามจะได้รับการชำระเงินจากลูกค้าตามจำนวนผู้ที่ตกเป็นเหยื่อและการละเมิดอุปกรณ์ที่ประสบความสำเร็จ ภัยคุกคามกำลังถูกติดตามในฐานะ PrivateLoader และถูกใช้ในการโจมตีตั้งแต่อย่างน้อยพฤษภาคม 2021

มัลแวร์ตัวโหลดมักใช้ในช่วงแรกของการโจมตีและทำหน้าที่เป็นระบบนำส่งสำหรับเพย์โหลดที่เสียหายในขั้นต่อไปที่คุกคามมากขึ้น เมื่อพูดถึง PrivateLoader โดยเฉพาะ จะพบว่ามีการดึงและปรับใช้ ตัวแปร Smokeloader , Redline และ Vidar

Smokeloader มีฟังก์ชันตัวโหลดที่คล้ายกัน แต่ยังสามารถทำการโจรกรรมข้อมูลและกิจกรรมการลาดตระเวนได้ Vidar จัดเป็นสปายแวร์และสามารถดึงข้อมูลต่างๆ เช่น รหัสผ่าน เอกสารสำคัญ และรายละเอียดกระเป๋าเงินดิจิทัล สำหรับ Redline นั้นเป็นภัยคุกคาม ซึ่งมุ่งเน้นไปที่การรวบรวมข้อมูลรับรองของเหยื่อ

การจัดจำหน่ายและรายละเอียด

ตามรายงานที่ตีพิมพ์โดยนักวิจัยที่ Intel 471 ระบุว่า PrivateLoader ส่วนใหญ่เผยแพร่ผ่านไซต์ดาวน์โหลดที่ถูกบุกรุกและผลิตภัณฑ์ซอฟต์แวร์ที่แคร็ก แอปพลิเคชั่นซอฟต์แวร์ยอดนิยมเวอร์ชันติดอาวุธเหล่านี้อาจรวมเข้ากับตัวสร้างคีย์ที่คาดคะเน โปรแกรมที่อนุญาตให้ผู้ใช้ปลดล็อกฟังก์ชันการทำงานทั้งหมดของแอปพลิเคชันเฉพาะอย่างผิดกฎหมายโดยไม่ต้องจ่ายค่าใบรับรองหรือการสมัครรับข้อมูล

เวกเตอร์เริ่มต้นของการประกอบอาจเกี่ยวข้องกับ JavaScript ที่ทริกเกอร์เมื่อคลิกปุ่มดาวน์โหลดบนเว็บไซต์ที่ถูกละเมิด ด้วยเหตุนี้ ไฟล์เก็บถาวร .ZIP ที่ถูกบุกรุกจะถูกลบออกในระบบของผู้ใช้ จะมีไฟล์ปฏิบัติการที่เมื่อเปิดตัวจะก่อให้เกิดภัยคุกคามจากมัลแวร์หลายตัว รวมทั้ง PrivateLoader

การจัดการภัยคุกคามจะดำเนินการผ่านแผงผู้ดูแลระบบที่สร้างด้วย AdminLTE 3 ผู้โจมตีสามารถเลือกเพย์โหลดที่ส่งผ่านตัวโหลด ตำแหน่งและประเทศเป้าหมาย ลิงก์ดาวน์โหลดสำหรับเพย์โหลดที่คุกคาม การเข้ารหัสที่ใช้สำหรับการสื่อสารกับ Command- เซิร์ฟเวอร์ and-Control (C2, C&C) และอื่นๆ