Специалисты компании Positive Technologies выявили вредоносную кампанию, от которой пострадали более 250 000 пользователей в 164 странах мира. Большинство пострадавших находятся в России, Украине, Белоруссии и Узбекистане, и скачивали софт с торрент-трекеров.
Все началось с того, что в августе 2023 года эксперты Positive Technologies зафиксировали аномальную активность неназванной российской компании: пользователь был скомпрометирован достаточно простым, но неизвестным ранее вредоносом. В итоге эксперты не нашли следов фишинга, взлома внешнего контура и других техник, зато выяснилось, что пользователь установил программу, скачанную через торрент с сайта topsoft[.]space.
Зараженный установщик программы, которую хотел получить пользователь, содержит не только легитимный, но и вредоносный компонент, который состоит из множества отдельных программ, в основном представляющих собой скомпилированные AutoIt-скрипты, дополнительно «скрытые» пакером Themida.
Исследователи пишут, что реализация малвари не выглядит сложной, она сделана в некоторой степени «по методичке» и использует простые тактики реализации атаки.
Также в отчете отмечается, что в зараженных системах малварь «вела себя» достаточно шумно: например, собирала информацию о компьютере жертвы, устанавливала RMS (Remote Manipulator System) и майнер XMRig, а также архивировала содержимое пользовательской папки Tekegram (tdata). Затем собранная информация передавалась Telegram-боту, который выступал в роли управляющего сервера.
Вероятной целью атаки исследователи называют перепродажу доступов как в сети, так и в Telegram. Так, в сети можно найти множество сообщений о скупке tdata.
В результате детального изучения этой угрозы, цепочки заражения и Telegram-бота эксперты обнаружили более 250 000 зараженных устройств в 164 странах. Подавляющее большинство жертв (более 200 000) находится в России, Украине, Белоруссии, Узбекистане. Также в топ-10 стран вошли Индия, Филиппины, Бразилия, Польша, Германия. Причем в компании уверены, что реальное количество жертв превышает 250 000.
Большинство жертв — это некорпоративные пользователи, которые скачивали пиратской софт на свои домашние компьютеры. Однако также компрометации подверглись государственные структуры, образовательные учреждения, нефтяные и газовые компании, медицинские учреждения, строительные, горнодобывающие компании, ритейл, IT и так далее. Подчерчивается, что все идентифицированные компании уже получили соответствующее уведомление.