В мире цифровых технологий, где пиратское программное обеспечение и «кряки» манят пользователей, киберпреступники нашли эффективный способ распространять вредоносное ПО. Имитация законных установщиков программ, часто с подмешанными похитителями информации, позволяет злоумышленникам обманывать доверчивых пользователей. Эти поддельные инсталляторы становятся троянским конем, проникающим в систему и открывающим двери для утечки конфиденциальных данных.
Распространение вредоносных установщиков осуществляется через обманные схемы в интернете. YouTube-каналы предлагают якобы учебные видео по установке пиратского ПО, а в комментариях размещают ссылки на загрузку. Похожая тактика используется и в социальных сетях, где вредоносные ссылки маскируются под легальный контент. Злоумышленники также манипулируют результатами поисковых систем, перенаправляя пользователей на скомпрометированные веб-сайты, где их ждут поддельные загрузчики. Платформы обмена файлами, такие как Mediafire и , а также неожиданные ресурсы, например, маркетплейс NFT OpenSea и музыкальная платформа SoundCloud, используются для размещения вредоносного ПО, замаскированного под легитимные файлы.
Чтобы избежать обнаружения, киберпреступники применяют методы обфускации, скрывая вредоносный код. Архивы ZIP, защищенные паролями, затрудняют анализ содержимого. Файлы огромного размера, до 900 МБ, способны обойти анализ в песочнице. Использование сокращенных URL-адресов усложняет обнаружение вредоносных ссылок. Поддельные имена файлов, мимикрирующие под легальное ПО, например, Setup.exe, подделывающийся под RustDesk, также вводят пользователей в заблуждение.
Сразу после запуска исполняемого файла внутри ZIP-архива начинается процесс заражения. Для скрытия процесса используются пакетные файлы с запутанными командами и скрипты AutoIt. В результате заражения на компьютер попадают дополнительные вредоносные файлы. Процесс внедрения в легитимные программы, такие как , StrCmp.exe, SearchIndexer.exe и explorer.exe, позволяет злоумышленникам установить постоянное присутствие в системе. Зараженные компьютеры подключаются к командно-контрольным (C&C) серверам для загрузки дополнительных вредоносных компонентов и передачи похищенных данных. Одновременно с этим, похищается конфиденциальная информация из браузеров, включая учетные данные. Вредоносное ПО может использовать доменные алгоритмы генерации (DGA) для поиска своих C&C серверов.
Злоумышленники используют различные типы вредоносных программ. Похитители информации, такие как Lumma stealer, Raccoon stealers, Mars Stealer, Amadey, Penguish и Vidar, специализируются на краже конфиденциальных данных. Помимо этого, используется приватные загрузчики, которые распространяют другие вредоносные программы. Нередки случаи использования троянизированных файлов, таких как поддельная библиотека DLL в примере с RustDesk.
Для уклонения от обнаружения вредоносное ПО использует ряд техник: загрузку сторонних DLL-файлов, внедрение процесса, большие размеры установочных файлов и архивы, защищенные паролями. Эти методы позволяют вредоносному ПО работать незамеченным, пока не будет нанесен серьезный ущерб.
Для защиты от подобных угроз необходима многоуровневая система безопасности. Trend Micro™ Managed XDR обеспечивает обнаружение в реальном времени угроз, которые не распознаются другими средствами защиты. Этот сервис проводит проактивный поиск угроз, контекстный анализ и корреляцию предупреждений безопасности, а также принимает меры по реагированию на инциденты, такие как изоляция зараженных машин и блокирование индикаторов компрометации (IOC). Использование услуг управляемого поставщика услуг безопасности (MSSP) является важным элементом общей стратегии безопасности.
Для защиты от вредоносных атак важна осведомленность пользователей. Необходимо избегать загрузки программного обеспечения из ненадежных источников, использовать надежные антивирусные программы и регулярно обновлять программное обеспечение. Использование многоуровневой защиты, обучение пользователей и планирование действий в случае инцидентов помогут минимизировать риски.
Изображение носит иллюстративный характер
Распространение вредоносных установщиков осуществляется через обманные схемы в интернете. YouTube-каналы предлагают якобы учебные видео по установке пиратского ПО, а в комментариях размещают ссылки на загрузку. Похожая тактика используется и в социальных сетях, где вредоносные ссылки маскируются под легальный контент. Злоумышленники также манипулируют результатами поисковых систем, перенаправляя пользователей на скомпрометированные веб-сайты, где их ждут поддельные загрузчики. Платформы обмена файлами, такие как Mediafire и , а также неожиданные ресурсы, например, маркетплейс NFT OpenSea и музыкальная платформа SoundCloud, используются для размещения вредоносного ПО, замаскированного под легитимные файлы.
Чтобы избежать обнаружения, киберпреступники применяют методы обфускации, скрывая вредоносный код. Архивы ZIP, защищенные паролями, затрудняют анализ содержимого. Файлы огромного размера, до 900 МБ, способны обойти анализ в песочнице. Использование сокращенных URL-адресов усложняет обнаружение вредоносных ссылок. Поддельные имена файлов, мимикрирующие под легальное ПО, например, Setup.exe, подделывающийся под RustDesk, также вводят пользователей в заблуждение.
Сразу после запуска исполняемого файла внутри ZIP-архива начинается процесс заражения. Для скрытия процесса используются пакетные файлы с запутанными командами и скрипты AutoIt. В результате заражения на компьютер попадают дополнительные вредоносные файлы. Процесс внедрения в легитимные программы, такие как , StrCmp.exe, SearchIndexer.exe и explorer.exe, позволяет злоумышленникам установить постоянное присутствие в системе. Зараженные компьютеры подключаются к командно-контрольным (C&C) серверам для загрузки дополнительных вредоносных компонентов и передачи похищенных данных. Одновременно с этим, похищается конфиденциальная информация из браузеров, включая учетные данные. Вредоносное ПО может использовать доменные алгоритмы генерации (DGA) для поиска своих C&C серверов.
Злоумышленники используют различные типы вредоносных программ. Похитители информации, такие как Lumma stealer, Raccoon stealers, Mars Stealer, Amadey, Penguish и Vidar, специализируются на краже конфиденциальных данных. Помимо этого, используется приватные загрузчики, которые распространяют другие вредоносные программы. Нередки случаи использования троянизированных файлов, таких как поддельная библиотека DLL в примере с RustDesk.
Для уклонения от обнаружения вредоносное ПО использует ряд техник: загрузку сторонних DLL-файлов, внедрение процесса, большие размеры установочных файлов и архивы, защищенные паролями. Эти методы позволяют вредоносному ПО работать незамеченным, пока не будет нанесен серьезный ущерб.
Для защиты от подобных угроз необходима многоуровневая система безопасности. Trend Micro™ Managed XDR обеспечивает обнаружение в реальном времени угроз, которые не распознаются другими средствами защиты. Этот сервис проводит проактивный поиск угроз, контекстный анализ и корреляцию предупреждений безопасности, а также принимает меры по реагированию на инциденты, такие как изоляция зараженных машин и блокирование индикаторов компрометации (IOC). Использование услуг управляемого поставщика услуг безопасности (MSSP) является важным элементом общей стратегии безопасности.
Для защиты от вредоносных атак важна осведомленность пользователей. Необходимо избегать загрузки программного обеспечения из ненадежных источников, использовать надежные антивирусные программы и регулярно обновлять программное обеспечение. Использование многоуровневой защиты, обучение пользователей и планирование действий в случае инцидентов помогут минимизировать риски.
