20.09.2022 | Эксперты выявили связь между двумя русскоязычными хакерскими сервисами |
Исследователи кибербезопасности выявили связи между сервисами вредоносных программ с оплатой за установку (pay-per-install, PPI) PrivateLoader и ruzki. По данным расследования SEKOIA, PrivateLoader является проприетарным загрузчиком вредоносного PPI-сервиса ruzki. Согласно отчету ИБ-компании SEKOIA, PPI-сервис ruzki (также известен как les0k, zhigalsz) рекламирует свою платформу на подпольном русскоязычном форуме Lolz Guru и в своих Telegram-каналах как минимум с мая 2021 года. PrivateLoader функционирует как загрузчик на основе C++ для загрузки и развертывания дополнительных вредоносных полезных нагрузок на зараженных хостах Windows. В основном он распространяется через SEO-оптимизированные веб-сайты, на которых содержится взломанное ПО. Некоторые из наиболее распространенных семейств вредоносных программ, распространяемых через PrivateLoader, включают Redline Stealer , Raccoon Stealer , Vidar и другие. Эксперты SEKOIA заметили новое изменение в кампании, которое заключается в использовании документов в VK.com для размещения вредоносных полезных нагрузок (раньше для этого использовался Discord), что мотивировано усиленным мониторингом сети доставки контента платформы. Схема заражения PrivateLoader и ruzki По словам SEKOIA злоумышленник ruzki продает пакеты из 1000 установок на зараженных системах, расположенных по всему миру за $70. В частности, в Европе за $300 и в США за $1000. Исследователи связали PrivateLoader с ruzki, исходя из следующих наблюдений:
Специалисты заявили, что услуги с оплатой за установку всегда играли ключевую роль в массовом распространении вредоносного ПО. |
|
Проверить безопасность сайта
.png)
