Специалисты компании Positive Technologies выявили вредоносную кампанию, от которой пострадали более 250 000 пользователей в 164 странах мира. Большинство пострадавших находятся в России, Украине, Белоруссии и Узбекистане, и скачивали софт с торрент-трекеров.

Все началось с того, что в августе 2023 года эксперты Positive Technologies зафиксировали аномальную активность неназванной российской компании: пользователь был скомпрометирован достаточно простым, но неизвестным ранее вредоносом. В итоге эксперты не нашли  следов фишинга, взлома внешнего контура и других техник, зато выяснилось, что пользователь установил программу, скачанную через торрент с сайта topsoft[.]space.

Вредоносная раздача

Зараженный установщик программы, которую хотел получить пользователь, содержит не только легитимный, но и вредоносный компонент, который состоит из множества отдельных программ, в основном представляющих собой скомпилированные AutoIt-скрипты, дополнительно «скрытые» пакером Themida.

Исследователи пишут, что реализация малвари не выглядит сложной, она сделана в некоторой степени «по методичке» и использует простые тактики реализации атаки.

Также в отчете отмечается, что в зараженных системах малварь «вела себя» достаточно шумно: например, собирала информацию о компьютере жертвы, устанавливала RMS (Remote Manipulator System) и майнер XMRig, а также архивировала содержимое пользовательской папки Tekegram (tdata). Затем собранная информация передавалась Telegram-боту, который выступал в роли управляющего сервера.

Вероятной целью атаки исследователи называют перепродажу доступов как в сети, так и в Telegram. Так, в сети можно найти множество сообщений о скупке tdata.

В результате детального изучения этой угрозы, цепочки заражения и Telegram-бота эксперты обнаружили более 250 000 зараженных устройств в 164 странах. Подавляющее большинство жертв (более 200 000) находится в России, Украине, Белоруссии, Узбекистане. Также в топ-10 стран вошли Индия, Филиппины, Бразилия, Польша, Германия. Причем в компании уверены, что реальное количество жертв превышает 250 000.

Большинство жертв — это некорпоративные пользователи, которые скачивали пиратской софт на свои домашние компьютеры. Однако также компрометации подверглись государственные структуры, образовательные учреждения, нефтяные и газовые компании, медицинские учреждения, строительные, горнодобывающие компании, ритейл, IT и  так далее. Подчерчивается, что все идентифицированные компании уже получили соответствующее уведомление.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии