Swarez Trojan og Dropper distribuert under forkledning av 15 Populære spill

Helga Smithaugust 27, 2021Sist oppdatert: september 6, 2021
44 1 minutt lest

I april i år, Kaspersky Lab -eksperter innspilt en storstilt kampanje for å distribuere en trojaner og en dropper ved navn Swarez.

Skadevaren ble distribuert under dekke av 15 populære spill, og forsøk på å laste ned slike filer ble registrert av selskapets produkter i 45 land i verden.

Dropperen ble introdusert gjennom forskjellige nettsteder som imiterer plattformer for ulovlig distribusjon av gratis programvare. Mange slike nettsteder distribuerer skadelig programvare under dekke av programmer, inkludert antivirusprogramvare, foto- og videoredigerere, samt populære spill.

Nettside med hacket programvare
Et eksempel på en side med hacket programvare for distribusjon Swarez.

Angriperne brukte følgende spill som agn: Blant oss, Slagmarken 4, Battlefield V, Kontroll, Counter-Strike Global Offensiv, FIFA 21, Fortnite, Grand Theft Auto V, Minecraft, NBA 2K21, Need for Speed ​​Heat, SPILLERKJENTES SLAGSPLASSER, Rust, The Sims 4, Titanfall 2. Flere tagger ble brukt for hvert innlegg for å få landingssider til å vises øverst i søkeresultatene.

Søkeresultater

Dropperen ble distribuert i et ZIP-arkiv, som inneholdt en annen passordbeskyttet ZIP-fil og en tekstfil som inneholder dette passordet. Lanseringen av skadelig programvare resulterte i dekryptering og aktivering av Tyren tyver Trojan.

Og dermed, i det første stadiet av infeksjon, Swarez-dropperen kjører et obfuskert CMD-skript som dekrypterer den legitime AutoIt-tolken. Bruker det, skadelig programvare kjører AutoIt-skriptet, som også er tilslørt. Det utføres flere kontroller for å sikre at filen ikke kjøres i et emulert miljø, og deretter dekrypteres nyttelasten ved hjelp av RC4-algoritmen. Den resulterende filen er innebygd i en av systemprosessene og kjøres i sin kontekst. Dette er Tyren, en betalt tyver Trojan utviklet av Rovdyret hack gruppe, med mange funksjoner og tilpasningsmuligheter. Det kan stjele informasjonskapsler, lagrede passord og autofylldata fra nettlesere, hemmeligheter for tilgang til kryptovaluta-lommebøker, samle inn systeminformasjon, tekstfiler fra brukerens skrivebord, og til og med ta skjermbilder. Trojaneren sender all denne informasjonen til C&C -server.

Brukere over hele verden laster aktivt ned programvare fra tvilsomme kilder, og forfatterne av Swarez dropper brukte dette til sin fordel. Angripere kompliserer stadig teknikkene sine og gjør sitt ytterste slik at brukeren ikke mistenker at han installerer skadelig programvare mens han laster ned programmet. Det er derfor vi anbefaler å laste ned programvaren kun fra de offisielle nettstedene til utviklerne.kommentarer Anton Ivanov, cybersikkerhetsekspert hos Kaspersky Lab.

La meg minne deg på at jeg også nylig skrev det TrickBot fikk en ny modul for overvåking av ofre.

Merker
Helga Smithaugust 27, 2021Sist oppdatert: september 6, 2021
44 1 minutt lest

Helga Smith

Jeg var alltid interessert i datavitenskap, spesielt datasikkerhet og temaet, som kalles i våre dager "datavitenskap", siden min tidlige tenåring. Før du kommer inn i Virusfjerningsteamet som sjefredaktør, Jeg jobbet som cybersikkerhetsekspert i flere selskaper, inkludert en av Amazons entreprenører. Nok en opplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Legg igjen et svar

Denne siden bruker Akismet å redusere spam. Lær hvordan din kommentar data behandles.

Tilbake til toppen