永遠の「バンドルされたマルウェア」の脅威に光を当てる, ソフォスの研究者は最近、進行中のRacooninfostealerキャンペーンに関連するWebサイトのネットワークについて徹底的な調査を行いました。, 「サービスとしてのスポイト」として機能します。このネットワークは、さまざまなマルウェアパッケージを配布しました, 「多くの場合、無関係のマルウェアを1つのドロッパーにバンドルします,」クリック詐欺ボットを含む, 他のinfostealers, とランサムウェア.
クラックされたソフトウェアパッケージの永遠の脅威
これらのサイトでSophosが追跡したRaccoonStealerキャンペーンは、1月から4月の間に行われました。, 2021, 研究者は、同じサイトネットワークを介して配布されたマルウェアやその他の悪意のあるコンテンツを引き続き観察しています. 「人気のある消費者向けおよび企業向けソフトウェアパッケージの「ひびの入った」バージョンを探している個人を対象とした複数のフロントエンドWebサイトは、ドメインのネットワークにリンクしています 犠牲者をリダイレクトするために使用 プラットフォーム用に設計されたペイロードに,」 報告書は指摘しました.
実際には, 多くのネットワークは同じ基本的な戦術を適用します, SEOの使用など (検索エンジン最適化) 特定の検索クエリに関連する結果の最初の過去に餌ページを配置する. これらのクエリには、さまざまなソフトウェア製品のクラックバージョンが含まれることがよくあります. Racooninfostealerキャンペーンの分析中に注意する必要があります, ソフォスは多くの情報スティーラーに出くわしました, クリック詐欺ボット, だけでなく、 コンティ ランサムウェアを停止します.
以前のSophosの発見 アライグマの繁殖方法に関連する 野生では、ウェアに関するビデオを含むYouTubeチャンネルを公開しました, または海賊版ソフトウェア. 研究者はまた、2つの特定のドメインに根ざしたテレメトリのサンプルに出くわしました: gsmcracktools.blogspot.comおよびprocrackerz.org.
悪意のあるサイトは通常、クラックされた正当なソフトウェアパッケージのリポジトリとして宣伝されます. でも, キャンペーンで配信されたファイルは、実際にはドロッパーになりすました. 潜在的な被害者がそのようなファイルをダウンロードするためにリンクをクリックした場合, アマゾンウェブサービスでホストされているリダイレクタJavaScriptのセットを通過します. それで, 被害者は、スポイトのさまざまなバージョンを配信する複数のダウンロード場所の1つに送られます.
悪意のある餌のページとトラフィック交換ネットワークの調査
分析された攻撃は、主にWordPressでホストされている多数のベイトページを利用しています. これらのページには、クリックすると一連のリダイレクトを作成するパッケージ化されたソフトウェアへのダウンロードリンクが含まれています.
「これらのページのダウンロードボタンは別のホストにリンクしています, パッケージ名とアフィリエイトIDコードを含む一連のパラメーターをアプリケーションに渡し、アプリケーションはブラウザーセッションをさらに別の中間サイトにリダイレクトします。, 最終的に目的地に到着する前に,」ソフォソは言った.
一部のベイトページは、マルウェアを含むパッケージアーカイブをホストしているダウンロードサイトにリダイレクトされます, 他の人はブラウザプラグインと潜在的に不要なアプリケーションと混ざっています (PUA).
多くの場合, ページの訪問者は許可するように求められます プッシュ通知. これらが許可されている場合, ページがトリガーを開始します 偽のマルウェアアラート. アラートがクリックされた場合, 次に、ユーザーは、訪問者のOSによって決定された宛先に到着するまで、一連のリダイレクトとサイトを経由します。, ブラウザの種類, および地理的位置.
マルウェアに関して研究者は何を発見しましたか?
これらのダウンロードキャンペーンは、さまざまなPUAとマルウェアを伝播します, のインストーラーを含む ランサムウェアを停止する, Gluptebaバックドア, そして多数の暗号通貨マイナーとインフォスティーラー. これらの偽のダウンロードの多くは、ウイルス対策プログラムのインストーラーであるとされています, そのうちのいくつかは、HitmanProのライセンスバイパスバージョンであると主張しました, ソフォスが所有.
ドロッパーパッケージとマルウェア配信プラットフォームは長い間存在してきました, しかし、サービスとしてのスティーラーを非常に収益性の高いものにするのと同じ種類の市場のダイナミクスのために、彼らは繁栄し続けています, レポートの結論. これらのおかげで, 経験の浅い脅威アクターでさえマルウェアを増殖させる可能性があります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: