Pay-Per-Install (PPI) - это широко используемый в экосистеме киберпреступности сервис, монетизирующий установку вредоносных программ. По наблюдениям SEKOIA, PrivateLoader является одним из наиболее широко используемых загрузчиков в 2022 году. Он используется службой PPI для развертывания множества вредоносных полезных нагрузок на зараженных узлах.
ruzki (он же les0k, zhigalsz) рекламирует свои услуги PPI на подпольных русскоязычных форумах и своих Telegram-каналах под именем ruzki или zhigalsz как минимум с мая 2021 года. Их бизнес-модель заключается в продаже пакетов из тысячи установок, расположенных на системах по всему миру, или конкретно в Европе или в США.
Впервые замеченный в мае 2021 года, PrivateLoader представляет собой модульную вредоносную программу, основной способностью которой является загрузка и выполнение одной или нескольких полезных нагрузок. Загрузчик реализует методы анти-анализа, снимает отпечатки пальцев со скомпрометированного узла и сообщает статистику на свой C2-сервер. PrivateLoader - модульный загрузчик на C++, состоящий из трех модулей, включая загрузчик для загрузки модуля Core, модуль Core, связывающийся с Command and Control (C2) для получения URL для загрузки следующей полезной нагрузки, и модуль Service, обеспечивающий персистентность. Его основное использование заключается в загрузке одного или нескольких вредоносных программ сторонних производителей.
По наблюдениям SEKOIA, с помощью полезной нагрузки PrivateLoader активно распространяются следующие семейства вредоносных программ:
- Похитители информации: Redline, Vidar, Raccoon, Eternity, Socelars, Fabookie, YTStealer, AgentTesla, Phoenix и другие некатегорированные программы для кражи информации.
- Ransomware: Djvu.
- Ботнет: Danabot, SmokeLoader.
- Майнеры: XMrig и другие некатегоризированные крадущие программы.
- Другие товарные вредоносные программы: DcRAT, Glupteba, Netsupport и вариант Nymaim.
Indicators of Compromise
IPv4 Port Combinations
- 103.89.90.61:12036
- 107.189.31.171:80
- 109.107.181.244:41535
- 138.201.195.134:3202
- 185.106.92.20:33168
- 185.215.113.55:1591
- 193.124.22.24:18114
- 5.182.36.101:31305
URLs
- http://107.182.129.251/server.txt
- http://116.203.105.117/base/api/getData.php
- http://146.70.87.133/
- http://163.123.143.4/proxies.txt
- http://212.193.30.115/base/api/getData.php
- http://212.193.30.115/base/api/statistics.php
- http://212.193.30.115/service/communication.php
- http://89.185.85.53/
- http://linislominyt11.at
- http://wfsdragon.ru/api/setStats.php
- https://oshi.at/Kaqm
- https://pastebin.com/raw/A7dSG1te
SHA256
- 0e14021b3594a5a54254d4f1cdf374dcf6650d71111f3dcf616f7043d7b2fba3
- 202d14ca71ba0a0d0cd06d3bb0da7a4b74c5a3de429420d6c0a0b766b81cc4cc
- 2048e7a38a3f8b52bb3e47435ec8ed42dc531446af7a02f76a7f8f79665610de
- 21ce471527c051d26da04e96c2829f450b031767399ea401920ab8b43018e421
- 27d2943e3dc87f5bfaf314dbf2b50dad4563b53515d471f398b81d5fe8b7a8fe
- 392049ce2edacaef91a29eb0ef2b7b9927a82550b592dedf725a33b6cfdd2381
- 456a46109fb5c42e3223592853934a52aa1cebeae6757e0e3792282c07750f32
- 52651bd3091f375b41b38aeeffd45d4df8fe0b1763fb6788756b473e6f96b5e2
- 6aa0d341cee633c2783960687c79d951bf270924df527ac4a99b6bfabf28d4ae
- 6c9223f75d2cca77fc09fbce2e76034326718c4daab02abc1e4f7caefefbcbc5
- 75c9e2a6c3d9196c4ea851f90401d6b9acae07489a41d462a462e42f26780215
- 866918dce85cab2200a0d271a8d6e7669296890d2d32ec3bea2fc78c6778a037
- 88c7dbb90db43f552465fb2b3a2c036f5c906cf2c8f14b80ee3cab8eee52d31d
- 99d207e9df203331c4849506693c351f777ace02a0ddebce2e3296bd79d3b081
- a0d021d03af4e6a87890bd0fb929e7f8ed83e08d73a0521c25957ad29cce2381
- ab0e35830bdaf3502d037d059b50f1e10c8283f5300565d6fb311d0827ac6ae8
- be30847b4cf9553f18b98e00e5cdcbecf099cf0369a5f95ca1057b3f122f7185
- de017a6129651d442c3e3c25c7f137d1da4264bd8cde6f67a7ed575d1001128a
- e2c2d8bf5451525085df47bbb63776fffa381823cf591de29f8dfc692c36d42d
- ff3ae8fff0d1862d4bde8f61e0ed14ef76d6d2cc6d940bb83dc0b4cfdacc2752