Команда Positive Technologies по киберинцидентам (PT CSIRT) в ходе расследования «аномальной сетевой активности» обнаружила неизвестное ранее вредоносное ПО. На компьютер первой жертвы оно попало не в результате фишинга или взлома, пользователь просто установил программу, скачанную через торрент.
Как рассказывает PT CSIRT, ВПО «вело себя» достаточно шумно: собирало информацию о компьютере жертвы, устанавливало RMS (программу для удалённого управления) и майнер XMRig, а также архивировало содержимое пользовательской папки Telegram. Собранная информация затем отправлялась в Telegram-бот, выступавший в роли контрольного сервера.
В ходе исследования ВПО, которое получило название autoit stealer, экспертам PT CSIRT удалось установить большое число жертв и определить вероятного автора программы. Всего эксперты обнаружили более 250 000 заражённых устройств в 164 странах, включая Россию, Украину, Индию, Бразилию, Польшу и другие.
«Большинство жертв — некорпоративные пользователи, которые скачивают пиратское ПО с сайтов на свои домашние компьютеры. Однако среди жертв мы обнаружили государственные структуры, образовательные учреждения, нефтяные и газовые компании, медицинские учреждения, строительные, горнодобывающие компании, ретейл, IT и др. Все идентифицированные компании получили соответствующее уведомление», — сообщается в посте Positive Technologies.
ВПО проникает на компьютер пользователя через торрент-клиент. После скачивания торрента на компьютер жертвы попадает заражённый установщик программы, которую планировал скачать пользователь, а вместе с ним вредоносный компонент, состоящий из множества отдельных программ. Эти программы представляют собой по большей части скомпилированные AutoIt-скрипты, дополнительно накрытые пакером Themida. Реализация ВПО не выглядит сложной, оно сделано в некоторой степени «по методичке» и использует простые тактики реализации атаки, поясняют эксперты.
Как предполагают в Positive Technologies, вероятной целью атаки может быть перепродажа доступов как в сети, так и в Telegram. На теневых форумах можно найти много сообщений о скупке tdata.
Стоит отметить, что, анализируя компонент ВПО, отвечающий за передачу собранной информации с заражённой машины, эксперты получили token_id бота, в который отправлялась вся информация. Получив все сообщения из этого бота, они смогли найти первого юзера, который его запустил. Дальнейший поиск и анализ постов этого юзера и связанных с ним аккаунтов в соцсетях и на специализированных форумах позволил также найти его аккаунт в X.
Обнаруженное ВПО эксперты назвали несложным, однако изучение только одной атаки с его использованием нашло более 250 тысяч жертв. В Positive Technologies предполагают, что жертв значительно больше, и прогнозируют рост атак с применением заражённого пиратского ПО.
«Использование пиратского софта несёт в себе риск заражения ВПО. Обычный антивирус может помочь защититься от заражения, однако это не панацея: необходимо более осознанно подходить к выбору источника софта. Идеальным вариантом, конечно же, будет приобретение лицензионных программ, но в современных реалиях это не всегда возможно», — заключают в компании.
С заботой о вашей безопасности, команда Origin Security
