PPI-сервисы PrivateLoader и ruzki теперь используют документы VK.com для распространения вредоносного ПО.

Исследователи кибербезопасности выявили связи между сервисами вредоносных программ с оплатой за установку (pay-per-install, PPI) PrivateLoader и ruzki. По данным расследования SEKOIA, PrivateLoader является проприетарным загрузчиком вредоносного PPI-сервиса ruzki.

Согласно отчету ИБ-компании SEKOIA, PPI-сервис ruzki (также известен как les0k, zhigalsz) рекламирует свою платформу на подпольном русскоязычном форуме Lolz Guru и в своих Telegram-каналах как минимум с мая 2021 года.

PrivateLoader функционирует как загрузчик на основе C++ для загрузки и развертывания дополнительных вредоносных полезных нагрузок на зараженных хостах Windows. В основном он распространяется через SEO-оптимизированные веб-сайты, на которых содержится взломанное ПО.

Некоторые из наиболее распространенных семейств вредоносных программ, распространяемых через PrivateLoader, включают Redline Stealer , Raccoon Stealer , Vidar и другие.

Эксперты SEKOIA заметили новое изменение в кампании, которое заключается в использовании документов в VK.com для размещения вредоносных полезных нагрузок (раньше для этого использовался Discord), что мотивировано усиленным мониторингом сети доставки контента платформы.

Схема заражения PrivateLoader и ruzki

По словам SEKOIA злоумышленник ruzki продает пакеты из 1000 установок на зараженных системах, расположенных по всему миру за $70. В частности, в Европе за $300 и в США за $1000.

Исследователи связали PrivateLoader с ruzki, исходя из следующих наблюдений:

  • Адреса C&C-серверов PrivateLoader совпадают с URL-адресами, предоставляемыми ruzki подписчикам, чтобы отслеживать статистику установки.
  • В именах образцов ботнета PrivateLoader, которые использовались для доставки Redline Stealer, содержатся ссылки на ruzki (например, ruzki9 и 3108_RUZKI).
  • PrivateLoader и ruzki начали работу в мае 2021 года, при этом оператор ruzki использовал фразу «наш загрузчик» на русском языке в своем Telegram-канале.

Специалисты заявили, что услуги с оплатой за установку всегда играли ключевую роль в массовом распространении вредоносного ПО.

Источник: securitylab