Некоторое время назад Kaspersky Lab выявили кампанию по распространению вредоносного ПО под видом популярных программ, таких как Discord, TeamViewer, Daemon Tools, VLC Player и др.
XCore Backdoor
В рамках данной кампании злоумышленники создали несколько десятков сайтов, каждый из которых предлагал скачать одну из перечисленных программ. Во всех случаях вместе с популярным ПО жертва получала бэкдор XCore, который скрытно устанавливался в системе.
Для обеспечения посещаемости своих сайтов злоумышленники выкупали рекламные объявления в поисковых системах. Благодаря этому на верхних позициях поисковой выдачи по определенному запросу, содержащему название популярной программы, пользователь видел ссылку на вредоносный ресурс. Дизайн поддельных сайтов был выполнен в стиле легитимных ресурсов, но при этом содержал гораздо меньше активных элементов — по сути, посетителю предлагали только кнопку для загрузки программы.
Indicators of Compromise
MD5
- 34d36899ca961809955fb5f0ef19d669
- 39a288a094b5734631787b733955739d
- 47cbae63189843fe62c52e240f17e01f
- 2cc069670e4b57671b2d300911a91050
Domains
- daemon-tools-elitem.best
- vlc-player.org
- discoord.me
- teamvivier.com