🚢 Приветствуем Вас на нашем трекере..🚢...Наш Девиз...Лучшее уже тут...☏...Присоединяйтесь...☏

 

[Цитировать]


Аналитики F.A.C.C.T. обнаружили масштабную кампанию по распространению вредоносного ПО.
В марте 2024 года аналитики Центра кибербезопасности F.A.C.C.T. выявили масштабную кампанию по распространению вредоносного программного обеспечения (ВПО) под видом взломанных программ. Инцидент произошел в одной из российских компаний, когда сотрудник скачал вредоносный файл, который был идентифицирован как Vidar — шпионское ПО, собирающее данные с компьютера жертвы. Собранные пользовательские данные могут использоваться для угона аккаунтов в мессенджерах, например, Telegram, хищения денежных средств с банковских карт и криптокошельков. Помимо кражи данных, Vidar может применяться в качестве загрузки других модулей вредоносного ПО.
Аналитики установили, что вредоносный архив был загружен с файлообменника MediaFire, а перед этим пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты, офисные приложения — как их взломанные версии, так и отдельно активаторы к ним — ПО, предназначенное для обхода встроенных систем защиты программ от неавторизованного использования.
Исследование зараженного сайта показало, что в кампании участвовало более 1300 уникальных доменов. Доменные имена часто объединялись схожими ключевыми словами, такими как crack, software, key, soft. Часть найденных доменов была недоступна, но продолжала иметь связи с активными ресурсами, что подтверждало их участие в распространении вредоносного ПО.
Аналитиков поразило не только количество ресурсов, но и методы продвижения сайтов: злоумышленники создали целую сеть поддельных аккаунтов в соцсетях, активно размещая рекламные посты на видеохостингах и образовательных платформах. В LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО.
Ресурсы-приманки были созданы с использованием типовых шаблонов, чаще всего на WordPress. Это объясняется лёгкостью и доступностью этой платформы для создания контента. Примечательно также, что чаще всего на сайте встречаются авторы с ником admin. В начале веб-страницы содержится краткое описание предлагаемого ПО, например различных пакетов Microsoft Office, решений компании Adobe, AutoCad, Nanocad, программ активации офисных приложений и операционных систем KMS. Также присутствует навигация по сайту с поиском, последними публикациями, выбором категорий и ссылками на социальные сети, такие как Facebook*, Twitter**, LinkedIn, Pinterest.

Пример ресурса, созданного с помощью WordPressЗлоумышленники старались убедить пользователей в безопасности предлагаемого ПО. Например, в описаниях утверждалось, что программы не наносят вреда системным файлам. В конце статей размещались ссылки для скачивания вредоносного ПО, иногда с альтернативной ссылкой на официальный сайт ПО.

Пример описания ПО, опубликованного на вредоносном ресурсе
Во всех случаях вредоносное ПО распространялось в виде запароленных архивов. Структура архивов включала один исполняемый файл и другие необходимые файлы. Большинство вредоносных экземпляров принадлежали семейству Amadey, которое собирает данные и загружает дополнительные модули. Также встречались стилеры, такие как Vidar, RedLine Stealer, CryptBot и Ramnit.
Особенно интересен тот факт, что злоумышленники нашли новую категорию потенциальных жертв — пользователей, столкнувшихся с проблемой использования легального ПО из-за санкций и ограничений. В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователи стали искать обходные пути для использования нужных программ. Как показал инцидент, предложения установить взломанное ПО могут содержать вредоносную нагрузку, что приводит к компрометации данных пользователя и всей инфраструктуры организации.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
**Социальная сеть запрещена на территории Российской Федерации.Источник


Показать сообщения:    

Текущее время: 12-Дек 05:01

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

!ВНИМАНИЕ!
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете, чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами, и мы незамедлительно удалим ее. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несет ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!