14/03/22
Специалисты Cisco Talos предупредили хактивистов, желающих DDoS’ить российские сайты о том, что они сами могут стать жертвами киберпреступников. По их словам, в Telegram распространяется инструмент якобы для осуществления DDoS-атак на российские ресурсы, который на самом деле крадет криптовалюту у того, кто его использует.
Под инструмент для хактивистов Disbalanscer.zip замаскирован известный еще с 2019 года инфостилер Phoenix, похищающий данные криптовалютных кошельков. «Начинал» вредонос как кейлоггер, но уже в течение нескольких месяцев превратился в полноценный инфостилер с мощным механизмом обхода обнаружения и модулями, препятствующими его анализу.
Примечательно, что группа под названием disBalancer действительно существует. Она предлагает «легитимный» инструмент для осуществления DDoS-атак на российские сайты, но называется он Liberator (Disbalancer.exe). Примечательно, что на сайте группировки в названии допущена опечатка – disBalancher вместо disBalancer.
Disbalanscer.zip же маскируется под этот инструмент, но на самом деле является инфостилером. Он защищен с помощью упаковщика ASProtect для исполняемых файлов Windows.
«Если исследователь попытается сделать отладку исполняемого файла вредоносного ПО, появится ошибка. После попытки отладки вредонос запустит Regsvcs.exe, включенный вместе с фреймворком .NET. В данном случае regsvcs.exe не используется как LoLBin (предоставляемый ОС двоичный файл, который обычно используется в легитимных целях, но также может быть использован хакерами – ред.). Он внедрен в вредоносный код, состоящий из инфостилера Phoenix», – пояснили эксперты.
Стоящие за вредоносной кампанией злоумышленники отнюдь не новички. Они распространяют инфостилеры как минимум с ноября прошлого года. Похищенные данные вредонос отправляет на удаленный IP-адрес в России 95[.]142.46.35 на порт 6666.
