PrivateLoader Trojan
Des cybercriminels inconnus offrent une puissante charge de chargement à d'autres équipes de pirates dans le cadre d'un système de paiement par installation. Cela signifie que les créateurs de la menace reçoivent des paiements de leurs clients, en fonction du nombre de victimes et d'appareils piratés avec succès. La menace est suivie en tant que PrivateLoader et est utilisée dans des opérations d'attaque depuis au moins mai 2021.
Les souches de logiciels malveillants Loader sont généralement utilisées dans les premiers stades des attaques et agissent comme un système de livraison pour les charges utiles corrompues plus menaçantes de la prochaine étape. En ce qui concerne spécifiquement PrivateLoader, il a été observé qu'il récupère et déploie les variantes Smokeloader , Redline et Vidar .
Smokeloader possède des fonctionnalités de chargeur similaires, mais il peut également effectuer des vols de données et des activités de reconnaissance. Vidar est classé comme logiciel espion et est capable d'extraire diverses données, telles que des mots de passe, des documents sensibles et des détails de portefeuille numérique. Quant à Redline, il s'agit d'une menace, qui se concentre sur la collecte des informations d'identification des victimes.
Distribution et détails
Selon un rapport publié par les chercheurs d'Intel 471, PrivateLoader est principalement distribué via des sites de téléchargement compromis et des produits logiciels piratés. Ces versions militarisées d'applications logicielles populaires peuvent être regroupées avec de supposés générateurs de clés, des programmes qui permettent aux utilisateurs de déverrouiller illégalement toutes les fonctionnalités d'applications spécifiques sans payer de certificat ou d'abonnement.
Le vecteur initial de compréhension pourrait impliquer un JavaScript déclenché en cliquant sur les boutons de téléchargement sur les sites Web piratés. En conséquence, une archive .ZIP compromise sera déposée sur le système de l'utilisateur. Il contiendra un fichier exécutable qui, lors de son lancement, déclenchera plusieurs menaces de logiciels malveillants, y compris PrivateLoader.
La gestion de la menace est effectuée via un panneau d'administration créé avec AdminLTE 3. Les attaquants peuvent choisir la charge utile livrée via le chargeur, les emplacements et les pays ciblés, les liens de téléchargement pour la charge utile menaçante, le cryptage utilisé pour la communication avec le Command- and-Control (C2, C&C) serveurs et plus encore.
