Найти в Дзене
Afforto - Технологии для бизнеса
117 подписчиков

Произошло массовое заражение

1
1 мин
Команда Positive Technologies по киберинцидентам (PT CSIRT) в ходе расследования «аномальной сетевой активности» обнаружила неизвестное ранее вредоносное ПО. На компьютер первой жертвы оно попало не в результате фишинга или взлома, пользователь просто установил программу, скачанную через торрент. Как рассказывает PT CSIRT, ВПО «вело себя» достаточно шумно: собирало информацию о компьютере жертвы, устанавливало RMS (программу для удалённого управления) и майнер XMRig, а также архивировало содержимое пользовательской папки Telegram. Собранная информация затем отправлялась в Telegram-бот, выступавший в роли контрольного сервера. В ходе исследования ВПО, которое получило название autoit stealer, экспертам PT CSIRT удалось установить большое число жертв и определить вероятного автора программы. Всего эксперты обнаружили более 250 000 заражённых устройств в 164 странах, включая Россию, Украину, Индию, Бразилию, Польшу и другие. Как предполагают в Positive Technologies, вероятной целью атаки
Скачивание пиратской программы из торрентов привело к заражению более 250 тысяч компьютеров
Скачивание пиратской программы из торрентов привело к заражению более 250 тысяч компьютеров

Команда Positive Technologies по киберинцидентам (PT CSIRT) в ходе расследования «аномальной сетевой активности» обнаружила неизвестное ранее вредоносное ПО. На компьютер первой жертвы оно попало не в результате фишинга или взлома, пользователь просто установил программу, скачанную через торрент.

Как рассказывает PT CSIRT, ВПО «вело себя» достаточно шумно: собирало информацию о компьютере жертвы, устанавливало RMS (программу для удалённого управления) и майнер XMRig, а также архивировало содержимое пользовательской папки Telegram. Собранная информация затем отправлялась в Telegram-бот, выступавший в роли контрольного сервера.

В ходе исследования ВПО, которое получило название autoit stealer, экспертам PT CSIRT удалось установить большое число жертв и определить вероятного автора программы. Всего эксперты обнаружили более 250 000 заражённых устройств в 164 странах, включая Россию, Украину, Индию, Бразилию, Польшу и другие.

Как предполагают в Positive Technologies, вероятной целью атаки может быть перепродажа доступов как в сети, так и в Telegram. На теневых форумах можно найти много сообщений о скупке tdata.

Стоит отметить, что, анализируя компонент ВПО, отвечающий за передачу собранной информации с заражённой машины, эксперты получили token_id бота, в который отправлялась вся информация. Получив все сообщения из этого бота, они смогли найти первого юзера, который его запустил. Дальнейший поиск и анализ постов этого юзера и связанных с ним аккаунтов в соцсетях и на специализированных форумах позволил также найти его аккаунт в X.

Обнаруженное ВПО эксперты назвали несложным, однако изучение только одной атаки с его использованием нашло более 250 тысяч жертв. В Positive Technologies предполагают, что жертв значительно больше, и прогнозируют рост атак с применением заражённого пиратского ПО.

«Использование пиратского софта несёт в себе риск заражения ВПО. Обычный антивирус может помочь защититься от заражения, однако это не панацея: необходимо более осознанно подходить к выбору источника софта. Идеальным вариантом, конечно же, будет приобретение лицензионных программ, но в современных реалиях это не всегда возможно», — заключают в компании.

Гаджеты и электроника
5,73 млн интересуются