Любители халявы снова страдают: пиратская версия бенчмарка 3DMark распространяет инфостилер

Исследователи из Zscaler обнаружили несколько новых вредоносных кампаний, направленных на пользователей, которые пытаются загрузить пиратские версии ПО. Для продвижения сайтов с зараженными кряками и генераторами ключей злоумышленники используют отравление SEO и вредоносную рекламу.

Вредоносные сайты в поисковой выдаче.

Чтобы заманить жертв, злоумышленники предлагают кряки для целого ряда ПО:

• Adobe Acrobat Pro

• 3DMark

• 3DVista Virtual Tour Pro

• 7-Data Recovery Suite

• MAGIX Sound Force Pro

• Wondershare Dr. Fone

Защищенные паролем ZIP-архивы с “кряками” размещаются на файловых хостингах, на которые жертв перенаправляют сайты из поисковой выдачи. Кроме архива пользователь загружает на устройство TXT-файл с паролем.

После распаковки размер ZIP-архива с 1.3 МБ увеличивается до 600 МБ за счет дополнения – криптографической техники, которую используют многие авторы вредоносного ПО. В архиве находится исполняемый файл – дроппер вредоносного ПО, запускающий зашифрованную PowerShell-команду, которая вызывает командную строку Windows после 10-секундного тайм-аута, чтобы обойти проверку в песочнице.

Затем через командную строку на устройство жертвы загружается JPG-файл, который на самом деле является DLL-файлом, содержимое которого расположено в обратном порядке.

Процесс загрузки вредоносного JPG-файла.

После загрузки нужного файла дроппер переставляет его содержимое в правильном порядке, извлекает полезную нагрузку RedLine Stealer и загружает ее в текущий поток.

RedLine Stealer – это мощный инфостилер, который похищает пароли, сохраненные данные банковских карт, криптовалютные кошельки, учетных данные для VPN-сервисов и многое другое.

Однако, в некоторых случаях специалисты Zscaler замечали на устройствах жертв другой инфостилер – RecordBreaker, упакованный с помощью инструмента Themida. Его функционал ничем не отличается от функционала RedLine Stealer.

Напомним, весной этого года RedLine Stealer успел нашуметь , в одном только апреле осуществив 10 тыс. атак в более чем 150 странах и регионах мира.