PPI-сервисы PrivateLoader и ruzki теперь используют документы VK.com для распространения вредоносного ПО.
Исследователи кибербезопасности выявили связи между сервисами вредоносных программ с оплатой за установку (pay-per-install, PPI) PrivateLoader и ruzki. По данным расследования SEKOIA, PrivateLoader является проприетарным загрузчиком вредоносного PPI-сервиса ruzki.
Согласно отчету ИБ-компании SEKOIA, PPI-сервис ruzki (также известен как les0k, zhigalsz) рекламирует свою платформу на подпольном русскоязычном форуме Lolz Guru и в своих Telegram-каналах как минимум с мая 2021 года.
PrivateLoader функционирует как загрузчик на основе C++ для загрузки и развертывания дополнительных вредоносных полезных нагрузок на зараженных хостах Windows. В основном он распространяется через SEO-оптимизированные веб-сайты, на которых содержится взломанное ПО.
Некоторые из наиболее распространенных семейств вредоносных программ, распространяемых через PrivateLoader, включают Redline Stealer , Raccoon Stealer , Vidar и другие.
Эксперты SEKOIA заметили новое изменение в кампании, которое заключается в использовании документов в VK.com для размещения вредоносных полезных нагрузок (раньше для этого использовался Discord), что мотивировано усиленным мониторингом сети доставки контента платформы.
Схема заражения PrivateLoader и ruzki
По словам SEKOIA злоумышленник ruzki продает пакеты из 1000 установок на зараженных системах, расположенных по всему миру за $70. В частности, в Европе за $300 и в США за $1000.
Исследователи связали PrivateLoader с ruzki, исходя из следующих наблюдений:
- Адреса C&C-серверов PrivateLoader совпадают с URL-адресами, предоставляемыми ruzki подписчикам, чтобы отслеживать статистику установки.
- В именах образцов ботнета PrivateLoader, которые использовались для доставки Redline Stealer, содержатся ссылки на ruzki (например, ruzki9 и 3108_RUZKI).
- PrivateLoader и ruzki начали работу в мае 2021 года, при этом оператор ruzki использовал фразу «наш загрузчик» на русском языке в своем Telegram-канале.
Специалисты заявили, что услуги с оплатой за установку всегда играли ключевую роль в массовом распространении вредоносного ПО.
Источник: securitylab