Các nhà nghiên cứu Tìm liên kết b / w PrivateLoader và Ruzki Pay-Per-Install Services

PrivateLoader và Ruzki Pay-Per-Install Services

Các nhà nghiên cứu an ninh mạng đã tiết lộ các kết nối mới giữa một dịch vụ trả cho mỗi lần cài đặt (PPI) được sử dụng rộng rãi được gọi là và một dịch vụ PPI khác có tên là ruzki.

“Kẻ đe dọa ruzki (hay còn gọi là les0k, zhigalsz) quảng cáo dịch vụ PPI của họ trên các diễn đàn ngầm nói tiếng Nga và các kênh Telegram của họ dưới tên ruzki hoặc zhigalsz kể từ ít nhất là tháng 5 năm 2021,” SEKOIA cho biết.

Công ty an ninh mạng cho biết các cuộc điều tra của họ về hai dịch vụ này đã dẫn đến kết luận rằng PrivateLoader là trình tải độc quyền của dịch vụ phần mềm độc hại ruzki PPI.

PrivateLoader, như tên của nó, hoạt động như một trình tải dựa trên C ++ để tải xuống và triển khai các tải trọng độc hại bổ sung trên các máy chủ Windows bị nhiễm. Nó chủ yếu được phân phối thông qua các trang web được tối ưu hóa SEO tuyên bố cung cấp phần mềm bẻ khóa.

Mặc dù nó đã được ghi nhận lần đầu tiên vào đầu tháng 2 này bởi Intel471, nó được cho là đã được đưa vào sử dụng bắt đầu từ tháng 5 năm 2021.

Một số họ phần mềm độc hại hàng hóa phổ biến nhất được lan truyền thông qua PrivateLoader bao gồm Redline Stealer, Socelars, Raccoon Stealer, Vidar, Tofsee, Amadey, DanaBot và các chủng ransomware Djvu và STOP.

Xem tiếp:   Sysrv Botnet biến thể mới chiếm đoạt Windows và Linux với công cụ khai thác tiền điện tử

Một phân tích vào tháng 5 năm 2022 từ Trend Micro đã phát hiện ra phần mềm độc hại phân phối một khuôn khổ có tên là NetDooka. Một báo cáo tiếp theo từ BitSight vào cuối tháng trước đã phát hiện thấy các trường hợp nhiễm trùng đáng kể ở Ấn Độ và Brazil kể từ tháng 7 năm 2022.

Một thay đổi mới được SEKOIA phát hiện là việc sử dụng dịch vụ tài liệu VK.com để lưu trữ các tải trọng độc hại trái ngược với Discord, một sự thay đổi có thể được thúc đẩy bởi việc tăng cường giám sát của nền tảng.

PrivateLoader và Ruzki Pay-Per-Install Services

PrivateLoader cũng được cấu hình để giao tiếp với các máy chủ command-and-control (C2) để tìm nạp và lấy dữ liệu ra. Tính đến giữa tháng 9, có bốn máy chủ C2 đang hoạt động, hai máy chủ ở Nga và một máy chủ ở Séc và Đức.

Các nhà nghiên cứu cho biết: “Dựa trên sự lựa chọn đa dạng của các họ phần mềm độc hại, có nghĩa là có nhiều tác nhân đe dọa hoặc bộ xâm nhập vận hành phần mềm độc hại này, dịch vụ PPI chạy PrivateLoader rất hấp dẫn và phổ biến đối với những kẻ tấn công trên các thị trường ngầm”, các nhà nghiên cứu cho biết.

SEKOIA cho biết thêm rằng họ đã phát hiện ra mối quan hệ giữa PrivateLoader và ruzki, một kẻ đe dọa bán gói 1.000 bản cài đặt trên các hệ thống bị nhiễm trên khắp thế giới (70 USD), hoặc cụ thể là Châu Âu (300 USD) hoặc Mỹ (1.000 USD).

Xem tiếp:   Các chiến dịch quảng cáo độc hại mới lan truyền Backdoor, Tiện ích mở rộng Chrome độc ​​hại

Những quảng cáo này, đã được đặt trong diễn đàn tội phạm mạng Lolz Guru, nhắm mục tiêu đến các tác nhân đe dọa (hay còn gọi là khách hàng tiềm năng), những người muốn phân phối khối lượng của họ thông qua dịch vụ PPI.

Mối liên hệ chủ yếu bắt nguồn từ những quan sát dưới đây:

Sự chồng chéo giữa các máy chủ PrivateLoader C2 và URL do ruzki cung cấp cho người đăng ký để theo dõi thống kê cài đặt liên quan đến chiến dịch của họ Tham chiếu đến ruzki trong các tên mẫu botnet PrivateLoader được sử dụng để cung cấp Redline Stealer, chẳng hạn như ruzki9 và 3108_RUZKI, và Thực tế là cả PrivateLoader và ruzki đều bắt đầu hoạt động vào tháng 5 năm 2021, với nhà điều hành ruzki sử dụng thuật ngữ “trình tải của chúng tôi” bằng tiếng Nga trên kênh Telegram của họ

Các nhà nghiên cứu cho biết: “Các dịch vụ trả cho mỗi lần cài đặt luôn đóng một vai trò quan trọng trong việc phát tán phần mềm độc hại hàng hóa.

“Vì một giải pháp chìa khóa trao tay khác giúp giảm chi phí gia nhập thị trường tội phạm mạng và là một dịch vụ góp phần chuyên nghiệp hóa liên tục hệ sinh thái tội phạm mạng, nên rất có thể nhiều hoạt động liên quan đến PrivacyLoader sẽ được quan sát trong ngắn hạn.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …