18/01/23
Французская компания SEKOIA.IO, специализирующаяся на кибербезопасности, обнаружила целую инфраструктуру из поддельных сайтов для скачивания пиратского софта. Для распространения вредоносных программ используется более 250 доменов. Причём сайты функционируют уже очень давно — с начала 2020 года.
Специалисты SEKOIA.IO сообщают, что домены управляются злоумышленниками через систему направления трафика (Traffic Direction System, TDS), которая позволяет другим киберпреступникам арендовать канал распространения своего собственного вредоносного ПО.
Атаки направлены на пользователей, которые ищут взломанные версии программного обеспечения и игр в поисковых системах. Мошенники выводят фишинговые веб-сайты на первые места поисковой выдачи с помощью технологии «SEO Poisoning», чтобы жертва точно «попалась на крючок».
На вышеупомянутом сайте, разумеется, есть кнопка для загрузки программы. Однако при нажатии — запускается пятиэтапное перенаправление URL-адресов, ведущее человека, по итогу, к архивному запароленному RAR файлу на GitHub.
«Такая сложная структура наверняка предназначена для обеспечения отказоустойчивости, а ещё она упрощает и ускоряет внесение изменений в эту систему», — считают французские исследователи.
Схема работы вредоноса на компьютере жертвы такова: когда человек распаковывает RAR-архив и запускает содержащийся в нем исполняемый файл, в систему устанавливается одно из двух семейств вредоносных программ: Raccoon или Vidar.
Схема во много похожа на ту, которую ранее описывали специалисты из компании Cyble, пишет Securitylab. Тогда злоумышленники подменяли рекламные баннеры Google Ads с предложением скачать популярные программы вроде AnyDesk, Bluestacks, Notepad++ и Zoom. Разумеется, баннеры вели к скачиванию вредоносного ПО, именуемого Rhadamanthys.
Также был замечен альтернативный вариант атаки, использующий фишинговые электронные письма, маскирующиеся под обновления программного обеспечения или даже под банковские выписки, чтобы обманом заставить пользователей перейти по мошенническим ссылкам.
И Raccoon, и Vidar способны отправлять злоумышленникам широкий спектр личной информации со взломанных компьютеров. Например, красть учетные записи из веб-браузеров, а также данные криптовалютных кошельков.
Пользователям рекомендуется воздерживаться от загрузки пиратского программного обеспечения и, по возможности, настроить двухфакторную аутентификацию для защиты учетных записей.
«Крайне важно, чтобы пользователи проявляли осторожность при получении спам-сообщений или посещении фишинговых веб-сайтов, а также внимательно проверяли источник перед загрузкой любого ПО», — говорят исследователи.
