Om enig licht te werpen op de eeuwige "gebundelde malware"-dreiging, Sophos-onderzoekers hebben onlangs een grondig onderzoek gedaan naar een netwerk van websites met betrekking tot een lopende Racoon infostealer-campagne, optreden als een "druppelaar als een service". Dit netwerk verspreidde verschillende malwarepakketten, "vaak bundelen niet-gerelateerde malware samen in een enkele druppelaar,” inclusief klikfraudebots, andere infostealers, en ransomware.
De eeuwige dreiging van gekraakte softwarepakketten
Terwijl de Raccoon Stealer-campagne die Sophos op deze sites volgde, plaatsvond tussen januari en april, 2021, de onderzoekers observeren nog steeds malware en andere kwaadaardige inhoud die via hetzelfde netwerk van sites wordt verspreid. “Meerdere front-end websites die gericht zijn op individuen die op zoek zijn naar “gekraakte” versies van populaire softwarepakketten voor consumenten en ondernemingen, zijn gekoppeld aan een netwerk van domeinen gebruikt om het slachtoffer om te leiden naar de payload die is ontworpen voor hun platform," het verslag wordt opgemerkt.
In feite, veel netwerken passen dezelfde basistactieken toe, zoals het gebruik van SEO (zoek machine optimalisatie) om een lokaaspagina te plaatsen op het eerste verleden van resultaten met betrekking tot specifieke zoekopdrachten. Deze zoekopdrachten bevatten vaak de crack-versies van verschillende softwareproducten. Opgemerkt moet worden dat tijdens de analyse van de Racoon infostealer-campagne, Sophos kwam talloze informatiestelers tegen, klikfraude bots, net als de Conti en STOP ransomware.
Vorige Sophos-ontdekkingen gerelateerd aan de manier waarop wasbeer zich voortplant in the wild onthulde een YouTube-kanaal met video over waren, of illegale software. De onderzoekers kwamen ook monsters tegen in telemetrie die geworteld waren in twee specifieke domeinen: gsmcracktools.blogspot.com en procrackerz.org.
De kwaadaardige sites worden meestal geadverteerd als opslagplaatsen van gekraakte legitieme softwarepakketten. Echter, de bestanden die in de campagne werden geleverd, waren eigenlijk vermomd als droppers. Als het potentiële slachtoffer op een link klikt om zo'n bestand te downloaden, ze komen via een set JavaScript-redirector die wordt gehost op Amazon Web Services. Dan, het slachtoffer wordt naar een van de meerdere downloadlocaties gestuurd die verschillende versies van de druppelaar leveren.
Een kijkje in kwaadaardige lokaaspagina's en verkeersuitwisselingsnetwerken
De geanalyseerde aanvallen maken gebruik van talloze lokaaspagina's die voornamelijk op WordPress worden gehost. Deze pagina's bevatten downloadlinks naar softwarepakketten die een reeks doorverwijzingen creëren bij het klikken op.
"Downloadknoppen op deze pagina's linken naar een andere host, het doorgeven van een set parameters die de pakketnaam en de identificatiecodes van de partner bevat, aan een applicatie die de browsersessie vervolgens doorverwijst naar weer een andere tussensite, voordat we eindelijk op een bestemming aankomen,Sophos zei:.
Sommige lokaaspagina's verwijzen door naar downloadsites die een verpakt archief hosten dat malware bevat, terwijl andere zijn doorspekt met browser-plug-ins en mogelijk ongewenste applicaties (tevreden).
In veel gevallen, paginabezoekers wordt gevraagd om toe te staan pushmeldingen. Als deze zijn toegestaan, de pagina's worden geactiveerd valse malwarewaarschuwingen. Als er op de waarschuwingen wordt geklikt, vervolgens wordt de gebruiker door een reeks omleidingen en sites geleid totdat hij op een bestemming aankomt die wordt bepaald door het besturingssysteem van de bezoeker, browser type, en de geografische locatie.
Wat hebben de onderzoekers ontdekt op het gebied van malware?
Deze downloadcampagnes verspreiden verschillende PUA's en malware, inclusief installateurs voor STOP ransomware, de achterdeur van Glupteba, en tal van cryptocurrency-mijnwerkers en infostealers. Veel van deze valse downloads beweerden installatieprogramma's voor antivirusprogramma's te zijn, waarvan sommige beweerden licentie-omzeilde versies van HitmanPro te zijn, eigendom van Sophos.
Dropper-pakketten en platforms voor het afleveren van malware bestaan al heel lang, maar ze blijven gedijen vanwege dezelfde soort marktdynamiek als diegene die stealers as a service zo winstgevend maken, het rapport wordt geconcludeerd. Dankzij deze, zelfs onervaren dreigingsactoren kunnen malware verspreiden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: