PrivateLoader Trojan

Bilinmeyen siber suçlular, yükleme başına ödeme planıyla diğer bilgisayar korsanları gruplarına güçlü bir yükleyici türü sunuyor. Bu, tehdidi oluşturanların, kurbanların ve başarıyla ihlal edilen cihazların sayısına göre müşterilerinden ödeme aldığı anlamına gelir. Tehdit PrivateLoader olarak izleniyor ve en az Mayıs 2021'den beri saldırı operasyonlarında kullanılıyor.

Yükleyici kötü amaçlı yazılım türleri, genellikle saldırıların ilk aşamalarında kullanılır ve daha tehdit edici sonraki aşama bozuk yükler için bir dağıtım sistemi görevi görür. Özel olarak PrivateLoader söz konusu olduğunda, Smokeloader, Redline ve Vidar varyantlarının getirilip dağıtıldığı gözlemlendi.

Smokeloader, benzer bir yükleyici işlevine sahiptir, ancak aynı zamanda veri hırsızlığı ve keşif faaliyetleri de gerçekleştirebilir. Vidar, casus yazılım olarak sınıflandırılır ve şifreler, hassas belgeler ve dijital cüzdan ayrıntıları gibi çeşitli verileri çıkarma yeteneğine sahiptir. Redline'a gelince, kurbanların kimlik bilgilerini toplamaya odaklanan bir tehdit.

Dağıtım ve Detaylar

Intel 471'deki araştırmacılar tarafından yayınlanan bir rapora göre, PrivateLoader çoğunlukla güvenliği ihlal edilmiş indirme siteleri ve kırılmış yazılım ürünleri aracılığıyla dağıtılıyor. Popüler yazılım uygulamalarının bu silahlı sürümleri, kullanıcıların bir sertifika veya abonelik için ödeme yapmadan belirli uygulamaların tüm işlevlerini yasa dışı bir şekilde kilidini açmasına izin veren programlar olan sözde anahtar oluşturucularla birlikte paketlenebilir.

İlk içerme vektörü, ihlal edilen web sitelerindeki indirme düğmelerine tıklandığında tetiklenen bir JavaScript içerebilir. Sonuç olarak, güvenliği ihlal edilmiş bir .ZIP arşivi kullanıcının sistemine bırakılır. Başlatıldığında PrivateLoader dahil olmak üzere çeşitli kötü amaçlı yazılım tehditlerini tetikleyecek yürütülebilir bir dosya içerecektir.

Tehdidin yönetimi, AdminLTE 3 ile oluşturulan bir yönetici paneli aracılığıyla gerçekleştirilir. Saldırganlar, yükleyici aracılığıyla teslim edilen yükü, hedeflenen yerleri ve ülkeleri, tehdit edici yük için indirme bağlantılarını, Komuta ile iletişim için kullanılan şifrelemeyi seçebilir. and-Control (C2, C&C) sunucuları ve daha fazlası.