Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Турецкая компания использует Яндекс и Google для распространения вредоносного ПО на протяжении 3 лет (http://txgate.io:443/showthread.php?t=11628)

Artifact 01-04-2025 05:31 AM

Хакеры объединили несколько способов атак и создали, возможно, идеальное вредоносное ПО.
Исследователи Check Point приписали тюркоязычную организацию Nitrokod к активной кампании по добыче криптовалюты, которая включает в себя использование поддельных настольных приложений-дропперов для заражения более 111 000 жертв в 11 странах с 2019 года.
Вице-президент по исследованиям Check Point Майя Горовиц заявила , что вредоносные инструменты могут быть использованы кем угодно. Их можно найти с помощью поиска в Интернете, загрузить по ссылке и установить двойным щелчком мыши.
Кампания затронула жертв в следующих странах: Великобритания, США, Шри-Ланка, Греция, Израиль, Германия, Турция, Кипр, Австралия, Монголия и Польша.
Вредоносное ПО распространяется через бесплатное ПО, размещенное на популярных сайтах, таких как Softpedia и Uptodown. Примечательно, что вредоносное ПО откладывает свое выполнение на недели и отделяет свою вредоносную активность от загруженного поддельного ПО, чтобы избежать обнаружения.
https://www.securitylab.ru/upload/im...t-img(343).png
Схема заражения Nitrokod
После установки зараженной программы происходит развертывание исполняемого файла обновления на диске, который запускает 4-ехэтапную последовательность атаки, при которой каждый дроппер готовит следующий, пока вредоносное ПО не будет удалено на седьмом этапе.
После запуска вредоносной программы устанавливается соединение с удаленным сервером управления и контроля (C&C) для получения файла конфигурации, чтобы инициировать криптоджекинг.
https://www.securitylab.ru/upload/im...t-img(344).png
Поддельные программы-дропперы
Отличительной чертой кампании Nitrokod является то, что поддельное ПО предназначено для сервисов, у которых нет официальной настольной версии:<ul><li>Яндекс.Переводч ик;</li>
</ul><ul><li>Google Translate;</li>
</ul><ul><li>Microsoft Translate;</li>
</ul><ul><li>YouTube Music;</li>
</ul><ul><li>MP3 Download Manager;</li>
</ul><ul><li>Pc Auto Shutdown.</li>
</ul>Кроме того, вредоносное ПО удаляется почти через месяц после первоначального заражения, когда удаляется криминалистический след. Это затрудняет анализ атаки и ее отслеживание до установщика.
Горовиц заявила, что хакер может легко изменить конечную полезную нагрузку атаки, изменив ее с криптомайнера на программу-вымогатель или банковский троян.


All times are GMT. The time now is 11:06 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.