Um etwas Licht in die ewige Bedrohung durch „gebündelte Malware“ zu bringen, Sophos-Forscher haben kürzlich ein Netzwerk von Websites im Zusammenhang mit einer laufenden Racoon-Infostealer-Kampagne gründlich untersucht, als „Dropper as a Service“ fungieren. Dieses Netzwerk verteilte eine Vielzahl von Malware-Paketen, „häufig nicht verwandte Malware in einem einzigen Dropper gebündelt,” einschließlich Klickbetrug-Bots, andere infostealer, und Ransomware.
Die ewige Bedrohung durch geknackte Softwarepakete
Während die Raccoon Stealer-Kampagne, die Sophos auf diesen Seiten verfolgte, zwischen Januar und April stattfand, 2021, die Forscher beobachten immer noch Malware und andere bösartige Inhalte, die über dasselbe Site-Netzwerk verbreitet werden. „Mehrere Front-End-Websites, die auf Einzelpersonen abzielen, die „gecrackte“ Versionen beliebter Softwarepakete für Verbraucher und Unternehmen suchen, verbinden sich mit einem Netzwerk von Domänen verwendet, um das Opfer umzuleiten auf die für ihre Plattform ausgelegte Nutzlast," Der Bericht stellte fest.
Tatsächlich, viele Netzwerke wenden die gleichen grundlegenden Taktiken an, wie die Verwendung von SEO (Suchmaschinenoptimierung) um eine Köderseite auf die erste Vergangenheit von Ergebnissen in Bezug auf bestimmte Suchanfragen zu platzieren. Diese Abfragen beinhalten oft die Crack-Versionen verschiedener Softwareprodukte. Es ist zu beachten, dass bei der Analyse der Racoon-Infostealer-Kampagne, Sophos ist auf zahlreiche Informationsdiebstahl gestoßen, Klickbetrug-Bots, ebenso wie Conti und STOPP Ransomware.
Frühere Sophos-Entdeckungen bezogen auf die Art und Weise, wie sich Waschbär fortpflanzt in the wild hat einen YouTube-Kanal mit Video über Waren enthüllt, oder raubkopierte Software. Die Forscher stießen auch auf Stichproben in der Telemetrie, die mit zwei spezifischen Domänen verwurzelt waren: gsmcracktools.blogspot.com und procrackerz.org.
Die bösartigen Websites werden in der Regel als Repositorys geknackter legitimer Softwarepakete beworben. Jedoch, die in der Kampagne gelieferten Dateien wurden tatsächlich als Dropper getarnt. Wenn das potenzielle Opfer auf einen Link klickt, um eine solche Datei herunterzuladen, Sie erhalten eine Reihe von Redirector-JavaScripts, die auf Amazon Web Services gehostet werden. Dann, das Opfer wird an einen von mehreren Download-Standorten geschickt, die verschiedene Versionen des Droppers liefern.
Ein Blick in bösartige Köderseiten und Traffic-Exchange-Netzwerke
Die analysierten Angriffe nutzen zahlreiche Köderseiten, die hauptsächlich auf WordPress gehostet werden. Diese Seiten enthalten Download-Links zu Softwarepaketen, die beim Klicken eine Reihe von Weiterleitungen erstellen.
„Download-Schaltflächen auf diesen Seiten verlinken zu einem anderen Host, Übergabe einer Reihe von Parametern, die den Paketnamen und die Partner-Identifikationscodes enthalten, an eine Anwendung, die dann die Browsersitzung an eine weitere zwischengeschaltete Site umleitet, bevor du endlich an einem Ziel ankommst,“, sagte Sophos.
Einige Köder-Seiten leiten zu Download-Sites weiter, die paketierte Archive hosten, die Malware enthalten, während andere mit Browser-Plugins und potenziell unerwünschten Anwendungen durchsetzt sind (zufrieden).
Vielfach, Seitenbesucher werden aufgefordert, dies zuzulassen Mitteilungen. Wenn diese erlaubt sind, die Seiten werden ausgelöst gefälschte Malware-Warnungen. Wenn die Benachrichtigungen angeklickt werden, dann wird der Benutzer durch eine Reihe von Weiterleitungen und Websites geführt, bis er an einem vom Betriebssystem des Besuchers bestimmten Ziel ankommt, Browsertyp, und geografische Lage.
Was haben die Forscher in Bezug auf Malware herausgefunden??
Diese Download-Kampagnen verbreiten eine Vielzahl von PUAs und Malware, inklusive Installateure für STOPP Ransomware, die Glupteba-Hintertür, und zahlreiche Kryptowährungs-Miner und Infostealer. Viele dieser gefälschten Downloads sollen Installationsprogramme für Antivirenprogramme sein, einige davon behaupteten, lizenzumgangene Versionen von HitmanPro zu sein, im Besitz von Sophos.
Dropper-Pakete und Malware-Delivery-Plattformen gibt es schon lange, aber sie gedeihen weiterhin aufgrund der gleichen Marktdynamik wie diejenigen, die Diebstahl als Dienstleistung so profitabel machen, der Bericht zu dem Schluss. Dank dieser, selbst unerfahrene Bedrohungsakteure können Malware verbreiten.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: