Французская компания SEKOIA.IO, специализирующаяся на кибербезопасности, обнаружила целую инфраструктуру из поддельных сайтов для скачивания пиратского софта. Для распространения вредоносных программ используется более 250 доменов. Причём сайты функционируют уже очень давно — с начала 2020 года.
Специалисты SEKOIA.IO сообщают, что домены управляются злоумышленниками через систему направления трафика (Traffic Direction System, TDS), которая позволяет другим киберпреступникам арендовать канал распространения своего собственного вредоносного ПО.
Атаки направлены на пользователей, которые ищут взломанные версии программного обеспечения и игр в поисковых системах. Мошенники выводят фишинговые веб-сайты на первые места поисковой выдачи с помощью технологии SEO poisoning (отравление поисковой выдачи) — добавление на скомпрометированные сайты слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря этому вредоносные сайты могут увидеть больше потенциальных жертв.
» data-html=»true» data-original-title=»SEO poisoning»>«SEO Poisoning», чтобы жертва точно «попалась на крючок».
На вышеупомянутом сайте, разумеется, есть кнопка для загрузки программы. Однако при нажатии — запускается пятиэтапное перенаправление URL-адресов, ведущее человека, по итогу, к архивному запароленному RAR файлу на GitHub.
«Такая сложная структура наверняка предназначена для обеспечения отказоустойчивости, а ещё она упрощает и ускоряет внесение изменений в эту систему», — считают французские исследователи.
Схема работы вредоноса на компьютере жертвы такова: когда человек распаковывает RAR-архив и запускает содержащийся в нем исполняемый файл, в систему устанавливается одно из двух семейств вредоносных программ: Raccoon или Vidar.
Схема во много похожа на ту, которую ранее описывали специалисты из компании Cyble Inc. — компания, которая занимается обеспечением интернет-безопасности. Она предлагает решения для защиты от киберугроз, включая их мониторинг, обнаружение и анализ. Компания использует искусственный интеллект и машинное обучение для анализа большого объема данных и обнаружения уязвимостей. Cyble консультирует своих клиентов, как бороться с интернет-угрозами, а также помогает в восстановлении данных после успешных кибератак.
» data-html=»true» data-original-title=»Cyble»>Cyble. Тогда злоумышленники подменяли рекламные баннеры Google Ads с предложением скачать популярные программы вроде AnyDesk, Bluestacks, Notepad++ и Zoom. Разумеется, баннеры вели к скачиванию вредоносного ПО, именуемого Rhadamanthys — это вид вредоносного ПО, которое используется для выполнения кибершпионажа и кражи чувствительной информации. По некоторой информации, Rhadamanthys разработан государственным актором и направлен в основном на правительственные и военные организации.
Обычно Rhadamanthys попадает на устройство жертвы через специально созданные фишинговые электронные письма с прикрепленными файлами или ссылками. Как только вредоносное ПО закрепляется в системе, оно может использоваться для извлечения чувствительных данных, таких как личные документы, учетные данные.
Rhadamanthys имеет модульную структуру, которая позволяет злоумышленникам добавлять новую функциональность по мере необходимости.