Trojan i dropper Swarez dystrybuowane pod przebraniem 15 Popularne gry

Helga Smithsierpień 27, 2021Ostatnio zaktualizowany: wrzesień 6, 2021
44 1 minuta przeczytania

W kwietniu tego roku, Eksperci z Kaspersky Lab nagrany szeroko zakrojoną kampanię mającą na celu dystrybucję trojana i droppera o nazwie Swarez.

Złośliwe oprogramowanie było dystrybuowane pod przykrywką 15 popularne gry, i próby pobrania takich plików były rejestrowane przez produkty firmy w 45 Kraje Świata.

Dropper został wprowadzony za pośrednictwem różnych stron imitujących platformy do nielegalnej dystrybucji bezpłatnego oprogramowania. Wiele takich witryn rozpowszechnia złośliwe oprogramowanie pod pozorem kluczy do programów, w tym oprogramowanie antywirusowe, edytory zdjęć i wideo, a także popularne gry.

Strona witryny ze zhakowanym oprogramowaniem
Przykład strony witryny ze zhakowanym oprogramowaniem do dystrybucji Swarez.

Napastnicy wykorzystali następujące gry jako przynętę: Wśród nas, Pole bitwy 4, Pole bitwy V, Kontrola, Counter Strike globalna ofensywa, FIFA 21, Fortnite, Grand Theft Auto V, Minecraft, NBA2K21, Need for Speed ​​Heat, POLA BITW PLAYERUNKNOWN, Rdza, Simsy 4, Upadek Tytana 2. Do każdego postu użyto wielu tagów, aby strony docelowe pojawiały się u góry wyników wyszukiwania.

Wyniki wyszukiwania

Dropper był dystrybuowany w archiwum ZIP, który zawierał inny chroniony hasłem plik ZIP oraz plik tekstowy zawierający to hasło. Uruchomienie szkodliwego oprogramowania spowodowało odszyfrowanie i aktywację pliku Byk kradnący trojan.

A zatem, w pierwszym etapie infekcji, dropper Swarez wykonuje zaciemniony skrypt CMD, który odszyfrowuje legalny interpreter AutoIt. Użyj tego, złośliwe oprogramowanie wykonuje skrypt AutoIt, co też jest zagmatwane. Przeprowadza się kilka kontroli, aby upewnić się, że plik nie jest wykonywany w emulowanym środowisku, a następnie ładunek jest odszyfrowywany przy użyciu algorytmu RC4. Powstały plik jest osadzony w jednym z procesów systemowych i wykonywany w jego kontekście. To jest Byk, płatny trojan kradnący, opracowany przez firmę Drapieżnik grupa hakerów, z wieloma funkcjami i opcjami dostosowywania. Może kraść pliki cookie, zapisane hasła i autouzupełnianie danych z przeglądarek, sekrety dostępu do portfeli kryptowalut, zbierać informacje o systemie, pliki tekstowe z pulpitu użytkownika, a nawet robić zrzuty ekranu. Trojan wysyła wszystkie te informacje do C&serwer C.

Użytkownicy na całym świecie aktywnie pobierają oprogramowanie z podejrzanych źródeł, a autorzy kroplomierza Swarez wykorzystali to na swoją korzyść. Atakujący nieustannie komplikują swoje techniki i dokładają wszelkich starań, aby użytkownik nie podejrzewał, że instaluje złośliwe oprogramowanie podczas pobierania programu. Dlatego zalecamy pobieranie oprogramowania wyłącznie z oficjalnych witryn programistów.uwagi Anton Iwanow, ekspert ds. cyberbezpieczeństwa ds Kaspersky Lab.

Przypomnę, że niedawno też to pisałem TrickBot otrzymał nowy moduł do monitorowania ofiar.

Tagi
Helga Smithsierpień 27, 2021Ostatnio zaktualizowany: wrzesień 6, 2021
44 1 minuta przeczytania

Helga Smith

Zawsze interesowałem się informatyką, zwłaszcza bezpieczeństwo danych i motyw, który nazywa się obecnie "nauka o danych", od moich wczesnych lat nastoletnich. Przed dołączeniem do zespołu usuwania wirusów jako redaktor naczelny, Pracowałem jako ekspert ds. cyberbezpieczeństwa w kilku firmach, w tym jeden z kontrahentów Amazona. Kolejne doświadczenie: Uczę na uniwersytetach Arden i Reading.

Zostaw odpowiedź

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

Przycisk Powrót do góry