KMSPico: икономиса за Windows? Сбогувай се със своите данни
Как хакерите маскират развъдниците на вируси, с цел да ги класират високо в резултатите от търсенето?
Компанията за киберсигурност eSentire заяви за нова интервенция за разпространяване на осведомителния инструмент Vidar посредством подправени уеб уеб сайтове, маскирани като принадлежности за активиране на Windows, като да вземем за пример KMSPico, които са толкоз известни в страните от Оперативно-наблюдателно дело.
KMSPico и другите KMS активатори са противозаконни принадлежности за активиране на Windows и други артикули на Microsoft, които заобикалят лицензионните ограничавания. Потребителите постоянно ги търсят в интернет, с цел да задействат софтуера си гратис, без да закупуват лиценз. Само че тези принадлежности постоянно се употребяват от хакерите за разпространяване на злотворен програмен продукт.
При случая, който eSentire проверява, консуматор е отишъл в уеб страницата „ kmspico[.]ws “ и едвам не е изтеглил инфектиран с вирус активатор. След обширен разбор на уеб страницата и неговото наличие специалистите стигнаха до следните изводи:
„ Сайтът „ kmspico[.]ws “ е предпазен от системата Cloudflare Turnstile CAPTCHA и изисква въвеждането на код, с цел да се изтегли финалният ZIP пакет “, означават от eSentire. „ Тези стъпки са извънредно необикновени за законните уеб сайтове за евакуиране и имат за цел да скрият страницата и крайния злотворен файл от автоматизираните уеб скенери. “
Злонамерената уеб страница, която обслужва „ потребния товар “. Изображението е от истинската публикация в esentire Изтегленият ZIP списък, оценен от специалистите, съдържа Java зависимости и изпълнимия файл „ Setuper_KMS-ACTIV.exe “. При стартирането си този файл деактивира мониторинга на държанието от страна на Windows Defender и започва скрипт AutoIt. Скриптът AutoIt на собствен ред декриптира и започва зловредния програмен продукт Vidar Stealer.
Изображението на същия KMS активатор, взето от съветски уебсайт Самият Vidar е доста добре прочут грабител на данни. Зловредният програмен продукт е кадърен да събира данните за логване, паролите, историята на браузъра, бисквитките, данните за автоматизирано попълване и финансова информация, като да вземем за пример данните за разлоичните банкови карти и портфейли за криптовалути. Събраните данни се изпращат до сървър за ръководство и надзор, където нападателите имат достъп до тях.
В обсъжданата акция Vidar Stealer употребява Telegram, с цел да съхранява IP адреса на C2 (Command and Control) сървъра, като го скрива в законни услуги. Този способ дава опция на хакерите да управляват инфектираните системи, без да разкриват своята инфраструктура.
Подобни офанзиви с в допълнение изполване на общественото инженерство постоянно употребяват подправени уеб уеб сайтове, които имитират законен програмен продукт, като да вземем за пример Advanced IP Scanner. Именно с негова помощ, съгласно скорошен отчет на Trustwave SpiderLabs, хакерите в последно време популяризират Cobalt Strike.
Така можем да стигнем до заключението, че всеки програмен продукт, без значение дали е публично лицензиран или не, би трябвало да се изтегля единствено от надеждни и сигурни източници. Повечето съмнителни уеб сайтове, предлагащи най-различен програмен продукт, в последна сметка се оказват развъдници на злотворен програмен продукт, който е усърдно прикрит от автоматизираните системи за уеб сканиране.
