«Крупная и устойчивая инфраструктура», включающая более 250 доменов, используется для распространения вредоносных программ, похищающих информацию, таких как Raccoon и Vidar, с начала 2020 года.
Цепочка заражения «использует около сотни поддельных сайтов-каталогов взломанного программного обеспечения, которые перенаправляют на несколько ссылок до загрузки полезной нагрузки, размещенной на файлообменных платформах, таких как GitHub» - сообщается в анализе компании SEKOIA, занимающейся вопросами кибербезопасности, опубликованном в начале этого месяца.
По оценке французской компании по кибербезопасности, эти домены управляются злоумышленником, который использует систему направления трафика (TDS), что позволяет другим киберпреступникам арендовать сервис для распространения своих вредоносных программ.
Атаки направлены на пользователей, ищущих взломанные версии программного обеспечения и игр в поисковых системах, таких как Google, и выводят мошеннические сайты на первое место, используя технику, называемую отравлением поисковой оптимизации, чтобы заставить жертв скачать и выполнить вредоносную нагрузку.
Отравленный результат содержит ссылку на загрузку обещанного программного обеспечения, при нажатии на которую запускается пятиэтапная последовательность перенаправления URL-адресов, чтобы перевести пользователя на веб-страницу, отображающую сокращенную ссылку, которая указывает на защищенный паролем архивный файл RAR, размещенный на GitHub, вместе с паролем.
«Использование нескольких перенаправлений усложняет автоматизированный анализ решениями безопасности» - заявляют исследователи. «Разбивка инфраструктуры таким образом почти наверняка призвана обеспечить устойчивость, облегчая и ускоряя обновление или изменение шага».
Если жертва распаковывает архив RAR и запускает содержащийся в нем якобы установочный исполняемый файл, в систему внедряется один из двух семейств вредоносных программ - Raccoon или Vidar.
Исследователи Cyble подробно описали мошенническую рекламную кампанию Google Ads, в которой широко используемое программное обеспечение, такое как AnyDesk, Bluestacks, Notepad++ и Zoom, используется в качестве приманки для доставки многофункционального похитителя, известного как Rhadamanthys Stealer.
Был замечен альтернативный вариант цепочки атак с использованием фишинговых писем, маскирующихся под банковские выписки, чтобы заставить пользователей перейти по мошенническим ссылкам.
Сфабрикованные веб-сайты, выдающие себя за популярное решение для удаленного рабочего стола, также использовались в прошлом для распространения кражи информации на базе Python под названием Mitsu Stealer.
Обе вредоносные программы способны вытягивать широкий спектр личной информации со взломанных машин, собирать учетные данные из веб-браузеров и красть данные из различных криптовалютных кошельков.
Пользователям рекомендуется воздерживаться от загрузки пиратского программного обеспечения и по возможности применять многофакторную аутентификацию для защиты учетных записей.
«Очень важно, чтобы пользователи проявляли осторожность при получении спама по электронной почте или посещении фишинговых сайтов и проверяли источник перед загрузкой любых приложений» - добавили исследователи.
Источник: https://thehackernews.com