Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Эксперты выявили связь между двумя русскоязычными хакерскими сервисами (http://txgate.io:443/showthread.php?t=11507)

Artifact 02-05-2025 04:37 PM

PPI-сервисы PrivateLoader и ruzki теперь используют документы VK.com для распространения вредоносного ПО.
https://www.securitylab.ru/upload/ib...jcwbh7d26f.png
Исследователи кибербезопасности выявили связи между сервисами вредоносных программ с оплатой за установку (pay-per-install, PPI) PrivateLoader и ruzki. По данным расследования SEKOIA, PrivateLoader является проприетарным загрузчиком вредоносного PPI-сервиса ruzki.
Согласно отчету ИБ-компании SEKOIA, PPI-сервис ruzki (также известен как les0k, zhigalsz) рекламирует свою платформу на подпольном русскоязычном форуме Lolz Guru и в своих Telegram-каналах как минимум с мая 2021 года.
PrivateLoader функционирует как загрузчик на основе C++ для загрузки и развертывания дополнительных вредоносных полезных нагрузок на зараженных хостах Windows. В основном он распространяется через SEO-оптимизированные веб-сайты, на которых содержится взломанное ПО.
Некоторые из наиболее распространенных семейств вредоносных программ, распространяемых через PrivateLoader, включают Redline Stealer , Raccoon Stealer , Vidar и другие.
Эксперты SEKOIA заметили новое изменение в кампании, которое заключается в использовании документов в VK.com для размещения вредоносных полезных нагрузок (раньше для этого использовался Discord), что мотивировано усиленным мониторингом сети доставки контента платформы.
https://www.securitylab.ru/upload/im...t-img(461).png
Схема заражения PrivateLoader и ruzki
По словам SEKOIA злоумышленник ruzki продает пакеты из 1000 установок на зараженных системах, расположенных по всему миру за $70. В частности, в Европе за $300 и в США за $1000.
Исследователи связали PrivateLoader с ruzki, исходя из следующих наблюдений:<ul><li>Адреса C&amp;C-серверов PrivateLoader совпадают с URL-адресами, предоставляемыми ruzki подписчикам, чтобы отслеживать статистику установки.</li>
</ul><ul><li>В именах образцов ботнета PrivateLoader, которые использовались для доставки Redline Stealer, содержатся ссылки на ruzki (например, ruzki9 и 3108_RUZKI).</li>
</ul><ul><li>PrivateLoader и ruzki начали работу в мае 2021 года, при этом оператор ruzki использовал фразу «наш загрузчик» на русском языке в своем Telegram-канале.</li>
</ul>Специалисты заявили, что услуги с оплатой за установку всегда играли ключевую роль в массовом распространении вредоносного ПО.


All times are GMT. The time now is 02:24 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.