Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi udgivet i Zero Day den 8. februar 2022 | Emne: Sikkerhed
En undersøgelse af en pay-per-install loader har fremhævet dens plads i implementeringen af populære malware-stammer, herunder Smokeloader og Vidar.
Tirsdag offentliggjorde Intel 471 en rapport i PrivateLoader, der undersøger cyberangreb, der gør brug af loader siden maj 2021. Pay-per-install (PPI) malware-tjenesten har været på området cyberkriminalitet i et stykke tid, men det vides ikke, hvem der står bag malwarens udvikling.
Indlæsere bruges til at implementere yderligere nyttelast på en målmaskine. PrivateLoader er en variant, der tilbydes kriminelle kunder på installationsbasis, hvor der betales ud fra, hvor mange ofre de formår at sikre.
PrivateLoader styres gennem et sæt kommando-og-kontrol-servere (C2) og et administratorpanel designet med AdminLTE 3.
Intel 471
Front-end-panelet tilbyder funktioner, herunder tilføjelse af nye brugere, konfigurationsmuligheder for at vælge en nyttelast, der skal installeres gennem indlæseren, målvalg for lokationer og lande, opsætning af downloadlinks til nyttelast, kryptering og valg af browserudvidelser til at kompromittere målmaskiner.
Distribution af loaderen sker primært gennem crackede softwarewebsteder. Knækkede versioner af populær software, nogle gange bundtet med nøglegeneratorer, er ulovlige former for software, der manipuleres med for at omgå licenser eller betaling.
Downloadknapper til cracket software på websteder er faktisk indlejret med JavaScript, der implementerer nyttelasten i et .ZIP-arkiv.
I prøver indsamlet af cybersikkerhedsfirmaet indeholdt pakken en ondsindet eksekverbar. Denne .exe-fil udløser en række malware, herunder en falsk GCleaner-belastningsforhandler, PrivateLoader og Redline.
PrivateLoader-modulet er blevet brugt til at udføre Smokeloader, Redline og Vidar siden mindst maj 2021. Ud af disse malware-familier er Smokeloader den mest populære.
Smokeloader er en separat loader, der også kan bruges til datatyveri & Rekognoscering, Redline har specialiseret sig i legitimationstyveri, hvorimod Vidar er spyware i stand til at eksfiltrere mange forskellige datatyper, herunder adgangskoder, dokumenter og information om digital tegnebog.
Et distributionslink til at få fat i Smokeloader antyder også en potentiel forbindelse til Qbot-banktrojaneren. PrivateLoader-bots er også blevet brugt til distributionen af Kronos-banktrojaneren og Dridex-botnettet.
PrivateLoader er ikke specifikt knyttet til udrulningen af ransomware, men en loader, der er knyttet til denne malware, kaldet Discoloader, er blevet brugt i angreb designet til at sprede Conti.
“PPI-tjenester har været en søjle i cyberkriminalitet i årtier. Ligesom den bredere befolkning vil kriminelle strømme til software, der giver dem en bred vifte af muligheder for nemt at nå deres mål,” siger forskerne . “Ved at fremhæve alsidigheden af denne malware, håber vi at give forsvarere chancen for at udvikle unikke strategier til at forhindre malware-angreb bemyndiget af PrivateLoader.”
Tidligere og relateret dækning
3D-printede våben, underjordiske markeder, bombemanualer: politiets indgreb fortsætter
Russian APT Primitive Bear angriber den vestlige regeringsafdeling i Ukraine gennem jobjagt
Operation EmailThief: Zero-day XSS-sårbarhed i Zimbra-e-mail-platformen afsløret
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre