Любители халявы снова страдают: пиратская версия бенчмарка 3DMark распространяет инфостилер

Любители халявы снова страдают: пиратская версия бенчмарка 3DMark распространяет инфостилер

В ходе новых вредоносных кампаний устройства жертв заражаются RedLine Stealer.

Исследователи из Zscaler обнаружили несколько новых вредоносных кампаний, направленных на пользователей, которые пытаются загрузить пиратские версии ПО. Для продвижения сайтов с зараженными кряками и генераторами ключей злоумышленники используют отравление SEO и вредоносную рекламу.

Вредоносные сайты в поисковой выдаче.

Чтобы заманить жертв, злоумышленники предлагают кряки для целого ряда ПО:

  • Adobe Acrobat Pro

  • 3DMark

  • 3DVista Virtual Tour Pro

  • 7-Data Recovery Suite

  • MAGIX Sound Force Pro

  • Wondershare Dr. Fone

Защищенные паролем ZIP-архивы с “кряками” размещаются на файловых хостингах, на которые жертв перенаправляют сайты из поисковой выдачи. Кроме архива пользователь загружает на устройство TXT-файл с паролем.

После распаковки размер ZIP-архива с 1.3 МБ увеличивается до 600 МБ за счет дополнения – криптографической техники, которую используют многие авторы вредоносного ПО. В архиве находится исполняемый файл – дроппер вредоносного ПО, запускающий зашифрованную PowerShell-команду, которая вызывает командную строку Windows после 10-секундного тайм-аута, чтобы обойти проверку в песочнице.

Затем через командную строку на устройство жертвы загружается JPG-файл, который на самом деле является DLL-файлом, содержимое которого расположено в обратном порядке.

Процесс загрузки вредоносного JPG-файла.

После загрузки нужного файла дроппер переставляет его содержимое в правильном порядке, извлекает полезную нагрузку RedLine Stealer и загружает ее в текущий поток.

RedLine Stealer – это мощный инфостилер, который похищает пароли, сохраненные данные банковских карт, криптовалютные кошельки, учетных данные для VPN-сервисов и многое другое.

Однако, в некоторых случаях специалисты Zscaler замечали на устройствах жертв другой инфостилер – RecordBreaker, упакованный с помощью инструмента Themida. Его функционал ничем не отличается от функционала RedLine Stealer.

Напомним, весной этого года RedLine Stealer успел нашуметь , в одном только апреле осуществив 10 тыс. атак в более чем 150 странах и регионах мира.

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!