For at kaste lys over den evige "bundtet malware" -trussel, Sophos forskere har for nylig foretaget en grundig undersøgelse på et netværk af websteder, der er relateret til en igangværende Racoon infostealer -kampagne, fungerer som en "dropper som en service". Dette netværk distribuerede en række malware -pakker, “Ofte bundter ikke -relateret malware sammen i en enkelt dropper,”Inklusive clickfraud -bots, andre infostealers, og ransomware.
Den evige trussel om revnede softwarepakker
Mens Raccoon Stealer -kampagnen, Sophos spores på disse websteder, skete mellem januar og april, 2021, forskerne observerer stadig malware og andet ondsindet indhold, der distribueres via det samme netværk af websteder. "Flere front-end-websteder målrettet mod personer, der søger" krakede "versioner af populære forbruger- og virksomhedssoftwarepakker, linker til et netværk af domæner bruges til at omdirigere offeret til nyttelast designet til deres platform," rapporten bemærkede.
Faktisk, mange netværk anvender den samme grundlæggende taktik, såsom at bruge SEO (Søgemaskine optimering) at placere en lokkemadsside på den første fortid af resultater relateret til specifikke søgeforespørgsler. Disse forespørgsler omfatter ofte crackversioner af forskellige softwareprodukter. Det skal bemærkes, at under analysen af Racoon infostealer -kampagnen, Sophos stødte på talrige informationsstjælere, clickfraud bots, samt Conti og STOP ransomware.
Tidligere Sophos -opdagelser relateret til den måde, vaskebjørn formerer sig på i naturen afslørede en YouTube -kanal med video om varer, eller piratkopieret software. Forskerne stødte også på prøver i telemetri med to specifikke domæner: gsmcracktools.blogspot.com og procrackerz.org.
De ondsindede websteder annonceres typisk som lagre af krakket legitime softwarepakker. Men, filerne, der blev leveret i kampagnen, blev faktisk maskeret som droppere. Hvis det potentielle offer klikker på et link for at downloade en sådan fil, de kommer igennem et sæt omdirigerings -JavaScript, der er hostet på Amazon Web Services. Derefter, offeret sendes til en af flere downloadplaceringer, der leverer forskellige versioner af dropperen.
Et kig på ondsindede lokkemadssider og trafikudvekslingsnetværk
De analyserede angreb bruger mange lokkemadssider, der hovedsageligt hostes på WordPress. Disse sider indeholder downloadlink til software pakket, som skaber en række omdirigeringer ved klik.
“Downloadknapperne på disse sider linker til en anden vært, videresendelse af et sæt parametre, der indeholder pakkens navn og tilknyttede identifikationskoder til et program, der derefter omdirigerer browsersessionen til endnu et mellemliggende websted, inden vi endelig ankommer til en destination,”Sagde Sophos.
Nogle lokkemiddelsider omdirigerer til downloadwebsteder, der er vært for pakket arkiv, der indeholder malware, mens andre er snøret med browser -plugins og potentielt uønskede applikationer (tilfreds).
I mange tilfælde, sidebesøgende bliver bedt om at tillade skubbe meddelelser. Hvis disse er tilladt, siderne begynder at udløse falske malware -advarsler. Hvis der klikkes på advarslerne, derefter føres brugeren gennem en række omdirigeringer og websteder, indtil han ankommer til en destination bestemt af den besøgendes operativsystem, browsertype, og geografisk placering.
Hvad opdagede forskerne med hensyn til malware?
Disse downloadkampagner spreder en række forskellige PUA'er og malware, herunder installatører til STOP ransomware, Glupteba -bagdøren, og mange kryptovaluta minearbejdere og infostealers. Mange af disse falske downloads påstås at være installatører til antivirusprogrammer, hvoraf nogle hævdede at være licensomgåede versioner af HitmanPro, ejet af Sophos.
Droppakker og platforme til levering af malware har eksisteret i lang tid, men de fortsætter med at trives på grund af den samme slags markedsdynamik som dem, der gør stealers som en tjeneste så rentabel, konkluderede rapporten. Takket være disse, selv uerfarne trusselsaktører kan sprede malware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: