Исследователи из Zscaler обнаружили несколько новых вредоносных кампаний, направленных на пользователей, которые пытаются загрузить пиратские версии ПО. Для продвижения сайтов с зараженными кряками и генераторами ключей злоумышленники используют отравление SEO и вредоносную рекламу.
Вредоносные сайты в поисковой выдаче.
Чтобы заманить жертв, злоумышленники предлагают кряки для целого ряда ПО:
Adobe Acrobat Pro
3DMark
3DVista Virtual Tour Pro
7-Data Recovery Suite
MAGIX Sound Force Pro
Wondershare Dr. Fone
Защищенные паролем ZIP-архивы с “кряками” размещаются на файловых хостингах, на которые жертв перенаправляют сайты из поисковой выдачи. Кроме архива пользователь загружает на устройство TXT-файл с паролем.
После распаковки размер ZIP-архива с 1.3 МБ увеличивается до 600 МБ за счет дополнения – криптографической техники, которую используют многие авторы вредоносного ПО. В архиве находится исполняемый файл – дроппер вредоносного ПО, запускающий зашифрованную PowerShell-команду, которая вызывает командную строку Windows после 10-секундного тайм-аута, чтобы обойти проверку в песочнице.
Затем через командную строку на устройство жертвы загружается JPG-файл, который на самом деле является DLL-файлом, содержимое которого расположено в обратном порядке.
Процесс загрузки вредоносного JPG-файла.
После загрузки нужного файла дроппер переставляет его содержимое в правильном порядке, извлекает полезную нагрузку RedLine Stealer и загружает ее в текущий поток.
RedLine Stealer – это мощный
Источник: SecurityLab