Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Любители халявы снова страдают: пиратская версия бенчмарка 3DMark распространяет инфостилер (http://txgate.io:443/showthread.php?t=11660)

Artifact 05-08-2025 03:17 PM

В ходе новых вредоносных кампаний устройства жертв заражаются RedLine Stealer.
https://www.securitylab.ru/upload/ib...973adbe377.png
Исследователи из Zscaler обнаружили несколько новых вредоносных кампаний, направленных на пользователей, которые пытаются загрузить пиратские версии ПО. Для продвижения сайтов с зараженными кряками и генераторами ключей злоумышленники используют отравление SEO и вредоносную рекламу.
https://lh3.googleusercontent.com/_R...BPtR0PRyeRv0nw
Вредоносные сайты в поисковой выдаче.
Чтобы заманить жертв, злоумышленники предлагают кряки для целого ряда ПО:
<ul><li>Adobe Acrobat Pro</li>
</ul><ul><li>3DMark</li>
</ul><ul><li>3DVista Virtual Tour Pro</li>
</ul><ul><li>7-Data Recovery Suite</li>
</ul><ul><li>MAGIX Sound Force Pro</li>
</ul><ul><li>Wondershare Dr. Fone</li>
</ul>Защищенные паролем ZIP-архивы с “кряками” размещаются на файловых хостингах, на которые жертв перенаправляют сайты из поисковой выдачи. Кроме архива пользователь загружает на устройство TXT-файл с паролем.
После распаковки размер ZIP-архива с 1.3 МБ увеличивается до 600 МБ за счет дополнения – криптографической техники, которую используют многие авторы вредоносного ПО. В архиве находится исполняемый файл – дроппер вредоносного ПО, запускающий зашифрованную PowerShell-команду, которая вызывает командную строку Windows после 10-секундного тайм-аута, чтобы обойти проверку в песочнице.
Затем через командную строку на устройство жертвы загружается JPG-файл, который на самом деле является DLL-файлом, содержимое которого расположено в обратном порядке.
https://lh5.googleusercontent.com/ug...lksCehHr5UIc2A
Процесс загрузки вредоносного JPG-файла.
После загрузки нужного файла дроппер переставляет его содержимое в правильном порядке, извлекает полезную нагрузку RedLine Stealer и загружает ее в текущий поток.
RedLine Stealer – это мощный инфостилер, который похищает пароли, сохраненные данные банковских карт, криптовалютные кошельки, учетных данные для VPN-сервисов и многое другое.
Однако, в некоторых случаях специалисты Zscaler замечали на устройствах жертв другой инфостилер – RecordBreaker, упакованный с помощью инструмента Themida. Его функционал ничем не отличается от функционала RedLine Stealer.
Напомним, весной этого года RedLine Stealer успел нашуметь , в одном только апреле осуществив 10 тыс. атак в более чем 150 странах и регионах мира.


All times are GMT. The time now is 12:11 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.