PrivateLoader IOCs

Pay-Per-Install (PPI) - это широко используемый в экосистеме киберпреступности сервис, монетизирующий установку вредоносных программ. По наблюдениям SEKOIA, PrivateLoader является одним из наиболее широко используемых загрузчиков в 2022 году. Он используется службой PPI для развертывания множества вредоносных полезных нагрузок на зараженных узлах.

ruzki (он же les0k, zhigalsz) рекламирует свои услуги PPI на подпольных русскоязычных форумах и своих Telegram-каналах под именем ruzki или zhigalsz как минимум с мая 2021 года. Их бизнес-модель заключается в продаже пакетов из тысячи установок, расположенных на системах по всему миру, или конкретно в Европе или в США.

Впервые замеченный в мае 2021 года, PrivateLoader представляет собой модульную вредоносную программу, основной способностью которой является загрузка и выполнение одной или нескольких полезных нагрузок. Загрузчик реализует методы анти-анализа, снимает отпечатки пальцев со скомпрометированного узла и сообщает статистику на свой C2-сервер. PrivateLoader - модульный загрузчик на C++, состоящий из трех модулей, включая загрузчик для загрузки модуля Core, модуль Core, связывающийся с Command and Control (C2) для получения URL для загрузки следующей полезной нагрузки, и модуль Service, обеспечивающий персистентность. Его основное использование заключается в загрузке одного или нескольких вредоносных программ сторонних производителей.

По наблюдениям SEKOIA, с помощью полезной нагрузки PrivateLoader активно распространяются следующие семейства вредоносных программ:

• Похитители информации: Redline, Vidar, Raccoon, Eternity, Socelars, Fabookie, YTStealer, AgentTesla, Phoenix и другие некатегорированные программы для кражи информации.
• Ransomware: Djvu.
• Ботнет: Danabot, SmokeLoader.
• Майнеры: XMrig и другие некатегоризированные крадущие программы.
• Другие товарные вредоносные программы: DcRAT, Glupteba, Netsupport и вариант Nymaim.

Indicators of Compromise

IPv4 Port Combinations

• 103.89.90.61:12036
• 107.189.31.171:80
• 109.107.181.244:41535
• 138.201.195.134:3202
• 185.106.92.20:33168
• 185.215.113.55:1591
• 193.124.22.24:18114
• 5.182.36.101:31305

URLs

• http://107.182.129.251/server.txt
• http://116.203.105.117/base/api/getData.php
• http://146.70.87.133/
• http://163.123.143.4/proxies.txt
• http://212.193.30.115/base/api/getData.php
• http://212.193.30.115/base/api/statistics.php
• http://212.193.30.115/service/communication.php
• http://89.185.85.53/
• http://linislominyt11.at
• http://wfsdragon.ru/api/setStats.php
• https://oshi.at/Kaqm
• https://pastebin.com/raw/A7dSG1te

SHA256

• 0e14021b3594a5a54254d4f1cdf374dcf6650d71111f3dcf616f7043d7b2fba3
• 202d14ca71ba0a0d0cd06d3bb0da7a4b74c5a3de429420d6c0a0b766b81cc4cc
• 2048e7a38a3f8b52bb3e47435ec8ed42dc531446af7a02f76a7f8f79665610de
• 21ce471527c051d26da04e96c2829f450b031767399ea401920ab8b43018e421
• 27d2943e3dc87f5bfaf314dbf2b50dad4563b53515d471f398b81d5fe8b7a8fe
• 392049ce2edacaef91a29eb0ef2b7b9927a82550b592dedf725a33b6cfdd2381
• 456a46109fb5c42e3223592853934a52aa1cebeae6757e0e3792282c07750f32
• 52651bd3091f375b41b38aeeffd45d4df8fe0b1763fb6788756b473e6f96b5e2
• 6aa0d341cee633c2783960687c79d951bf270924df527ac4a99b6bfabf28d4ae
• 6c9223f75d2cca77fc09fbce2e76034326718c4daab02abc1e4f7caefefbcbc5
• 75c9e2a6c3d9196c4ea851f90401d6b9acae07489a41d462a462e42f26780215
• 866918dce85cab2200a0d271a8d6e7669296890d2d32ec3bea2fc78c6778a037
• 88c7dbb90db43f552465fb2b3a2c036f5c906cf2c8f14b80ee3cab8eee52d31d
• 99d207e9df203331c4849506693c351f777ace02a0ddebce2e3296bd79d3b081
• a0d021d03af4e6a87890bd0fb929e7f8ed83e08d73a0521c25957ad29cce2381
• ab0e35830bdaf3502d037d059b50f1e10c8283f5300565d6fb311d0827ac6ae8
• be30847b4cf9553f18b98e00e5cdcbecf099cf0369a5f95ca1057b3f122f7185
• de017a6129651d442c3e3c25c7f137d1da4264bd8cde6f67a7ed575d1001128a
• e2c2d8bf5451525085df47bbb63776fffa381823cf591de29f8dfc692c36d42d
• ff3ae8fff0d1862d4bde8f61e0ed14ef76d6d2cc6d940bb83dc0b4cfdacc2752