×

Эксперты выявили связь между двумя русскоязычными хакерскими сервисами

Эксперты выявили связь между двумя русскоязычными хакерскими сервисами

PPI-сервисы PrivateLoader и ruzki теперь используют документы VK.com для распространения вредоносного ПО.

Исследователи кибербезопасности выявили связи между сервисами вредоносных программ с оплатой за установку (pay-per-install, PPI) PrivateLoader и ruzki. По данным расследования SEKOIA, PrivateLoader является проприетарным загрузчиком вредоносного PPI-сервиса ruzki.

Согласно отчету ИБ-компании SEKOIA, PPI-сервис ruzki (также известен как les0k, zhigalsz) рекламирует свою платформу на подпольном русскоязычном форуме Lolz Guru и в своих Telegram-каналах как минимум с мая 2021 года.

PrivateLoader функционирует как загрузчик на основе C++ для загрузки и развертывания дополнительных вредоносных полезных нагрузок на зараженных хостах Windows. В основном он распространяется через SEO-оптимизированные веб-сайты, на которых содержится взломанное ПО.

Некоторые из наиболее распространенных семейств вредоносных программ, распространяемых через PrivateLoader, включают Redline Stealer , Raccoon Stealer , Vidar и другие.

Эксперты SEKOIA заметили новое изменение в кампании, которое заключается в использовании документов в VK.com для размещения вредоносных полезных нагрузок (раньше для этого использовался Discord), что мотивировано усиленным мониторингом сети доставки контента платформы.


Схема заражения PrivateLoader и ruzki

По словам SEKOIA злоумышленник ruzki продает пакеты из 1000 установок на зараженных системах, расположенных по всему миру за $70. В частности, в Европе за $300 и в США за $1000.

Исследователи связали PrivateLoader с ruzki, исходя из следующих наблюдений:

  • Адреса C&C-серверов PrivateLoader совпадают с URL-адресами, предоставляемыми ruzki подписчикам, чтобы отслеживать статистику установки.
  • В именах образцов ботнета PrivateLoader, которые использовались для доставки Redline Stealer, содержатся ссылки на ruzki (например, ruzki9 и 3108_RUZKI).
  • PrivateLoader и ruzki начали работу в мае 2021 года, при этом оператор ruzki использовал фразу «наш загрузчик» на русском языке в своем Telegram-канале.

Специалисты заявили, что услуги с оплатой за установку всегда играли ключевую роль в массовом распространении вредоносного ПО.

Хакер взломал PlayStation 5 и выпустил эксплойт для консоли

Эксплоит будет полезен тем, кто хочет изучить внутреннюю систему PS5.

Стажер АНБ арестован за попытку продать секреты США иностранному правительству

Арестованному грозит смертная казнь или пожизненное заключение.

Китайские хакеры нанесли удар по цепочке поставок Comm100 Live Chat

Какое-то время вместе с программой можно было получить неприятный “подарок” в виде трояна.