Зловредные программы Raccoon и Vidar уже давно распространяются через сайты со взломанным ПО.
Французская компания SEKOIA.IO, специализирующаяся на кибербезопасности, обнаружила целую инфраструктуру из поддельных сайтов для скачивания пиратского софта. Для распространения вредоносных программ используется более 250 доменов. Причём сайты функционируют уже очень давно — с начала 2020 года.
Специалисты SEKOIA.IO сообщают, что домены управляются злоумышленниками через систему направления трафика (Traffic Direction System, TDS), которая позволяет другим киберпреступникам арендовать канал распространения своего собственного вредоносного ПО.
Атаки направлены на пользователей, которые ищут взломанные версии программного обеспечения и игр в поисковых системах. Мошенники выводят фишинговые веб-сайты на первые места поисковой выдачи с помощью технологии Для просмотра ссылки Войди
На вышеупомянутом сайте, разумеется, есть кнопка для загрузки программы. Однако при нажатии — запускается пятиэтапное перенаправление URL-адресов, ведущее человека, по итогу, к архивному запароленному RAR файлу на GitHub.
«Такая сложная структура наверняка предназначена для обеспечения отказоустойчивости, а ещё она упрощает и ускоряет внесение изменений в эту систему», — считают французские исследователи.
Схема работы вредоноса на компьютере жертвы такова: когда человек распаковывает RAR-архив и запускает содержащийся в нем исполняемый файл, в систему устанавливается одно из двух семейств вредоносных программ: Raccoon или Vidar.
Схема во много похожа на ту, которую ранее описывали специалисты из компании Для просмотра ссылки Войди
Также был замечен альтернативный вариант атаки, использующий фишинговые электронные письма, маскирующиеся под обновления программного обеспечения или даже под банковские выписки, чтобы обманом заставить пользователей перейти по мошенническим ссылкам.
И Raccoon, и Vidar способны отправлять злоумышленникам широкий спектр личной информации со взломанных компьютеров. Например, красть учетные записи из веб-браузеров, а также данные криптовалютных кошельков.
Пользователям рекомендуется воздерживаться от загрузки пиратского программного обеспечения и, по возможности, настроить двухфакторную аутентификацию для защиты учетных записей.
«Крайне важно, чтобы пользователи проявляли осторожность при получении спам-сообщений или посещении фишинговых веб-сайтов, а также внимательно проверяли источник перед загрузкой любого ПО», — говорят исследователи.
- Источник новости
- www.securitylab.ru