В рамках продолжающейся масштабной кампании злоумышленники активно распространяют потенциальные варианты трояна Rhadamanthys, маскируя их под взломанные версии популярного программного обеспечения. По данным исследователей кибербезопасности, эта активность фиксируется на протяжении длительного времени и демонстрирует устойчивую тенденцию к использованию социальной инженерии.
Описание
Особенностью текущей кампании стало использование паролей для архивов 7-Zip, что позволяет злоумышленникам избегать обнаружения системами безопасности. После извлечения содержимого архива запускается исполняемый файл, который злоупотребляет легитимным инструментом AutoIt в сочетании с шифрованием CypherIT для установки возможных вариантов вредоносной программы Rhadamanthys. Примечательно, что ранее через аналогичные каналы распространения дистрибутировался Lumma Stealer - вредоносное ПО, специализирующееся на краже данных.
Изначально данная активность была задокументирована экспертами в мае 2025 года, хотя есть основания полагать, что кампания функционировала и ранее. Представленная инфраструктура является лишь одним из многочисленных цепочек URL-адресов, используемых для распространения вредоносного или нежелательного программного обеспечения. При повторном анализе цепочек исследователи столкнулись с постоянно меняющимися доменами, URL-адресами и файлами для загрузки, что свидетельствует о применении злоумышленниками обфускации и тактик уклонения от обнаружения.
Особую озабоченность вызывает то, что данная кампания не ограничивается исключительно взломанным программным обеспечением. Злоумышленники также активно маскируют вредоносные нагрузки под другой контент, защищенный авторским правом, расширяя тем самым потенциальную аудиторию атаки. Такой подход позволяет ориентироваться на различные группы пользователей, ищущие способы бесплатного получения платного контента или программ.
Технический анализ показывает, что использование AutoIt с дополнительным шифрованием CypherIT создает серьезные препятствия для традиционных антивирусных решений. AutoIt, будучи легитимным инструментом для автоматизации задач в операционных системах Windows, часто остается вне подозрений, что позволяет вредоносному коду выполнять свои функции без немедленного обнаружения. Шифрование же усложняет статический анализ и создает дополнительные барьеры для исследователей безопасности.
Эксперты отмечают, что наблюдаемая инфраструктура демонстрирует высокую адаптивность. При каждом новом обращении к цепочке распространения пользователям предлагаются различные домены, URL-адреса и файлы для загрузки. Эта техника, известная как «плавающая» инфраструктура, значительно усложняет блокировку вредоносных ресурсов и создание эффективных индикаторов компрометации.
Специалисты по кибербезопасности рекомендуют пользователям воздерживаться от загрузки и установки взломанного программного обеспечения и нелегального контента, поскольку именно через такие каналы чаще всего происходит заражение. Также крайне важно поддерживать актуальные версии антивирусных решений и применять комплексный подход к безопасности, включая регулярное обновление операционных систем и приложений.
Текущая кампания наглядно демонстрирует, что киберпреступники продолжают совершенствовать свои методы, сочетая проверенные временем техники социальной инженерии с современными подходами к обфускации и уклонению от обнаружения. Угроза, связанная с вредоносным ПО, распространяемым через пиратский контент, остается актуальной и требует повышенного внимания как от обычных пользователей, так и от специалистов по информационной безопасности.
Индикаторы компрометации
IPv4 Port Combinations
- 104.164.55.44:443
Domains
- cloud341.autos
- cloud341.baby
- cloud341.cfd
- cloud341.click
- cloud341.icu
- cloud341.lat
- cloud341.lol
- cloud341.monster
- cloud341.pics
- cloud341.xyz
- cloud3413.baby
- cloud3413.cfd
- cloud3413.click
- cloud3413.icu
- cloud3413.pics
- cloud3413.sbs
- cloud34221.autos
- cloud34221.baby
- cloud34221.cfd
- cloud34221.forum
- cloud34221.hair
- cloud34221.homes
- cloud34221.icu
- cloud34221.lat
- cloud34221.lol
- cloud34221.monster
- cloud34221.pics
- cloud34221.quest
- cloud34221.sbs
- cloud34221.xyz
- cloud343.boats
- cloud9342.autos
- cloud9342.baby
- cloud9342.beauty
- cloud9342.click
- cloud9342.pics
- cloud9342.quest
- cloud93421.autos
- cloud93421.baby
- cloud93421.beauty
- cloud93421.cfd
- cloud93421.click
- cloud93421.homes
- cloud93421.icu
- cloud93421.lat
- cloud93421.lol
- cloud93421.monster
- cloud93421.pics
- cloud93421.quest
- cloud93421.sbs
- cloud9342111.autos
- cloud9342111.cfd
- cloud9342111.icu
- cloud9342111.lat
- cloud9342111.lol
- cloud9342111.mom
- cloud9342111.monster
- cloud9342111.pics
- cloud9342111.quest
- cloud9342111.rest
- cloud9342111.sbs
- cloud9342111.xyz
- cloud934221.baby
- cloud934221.beauty
- cloud934221.click
- cloud934221.forum
- cloud934221.homes
- cloud934221.icu
- cloud934221.lat
- cloud934221.lol
- cloud934221.pics
- cloud934221.xyz
URLs
- arch.cloud341.click/request/media/F1vBsGt6QptOiS2xEFlaGWqX/utep_first-year_composition_handbook_pdf.zip
- arch.cloud341.click/request/media/xC6a6sbtPdwr1NledTqmxo7Y/file.zip
- arch.cloud9342111.lol/request/media/VUjCyZNpV2NXWhOiJAduDT20/Need_For_Speed_Underground_2_PC_Full_Espa%C3%B1ol.zip
- arch2.cloud341.click/request/media/8yqXScQ0B0MdD5NN0dMtVVoH/Festo_Fluidsim_4.5_Full_Multilenguaje_Espa%C3%B1ol_[Mega].zip
- https://afile2.com/distinct-features-of-ratio-mercatoris-in-map-projections/?utm_term=Adobe+Premiere+Pro+%282025%29+Full+Multilenguaje+%5BMega%5D&utm_content=%7BSUBID1%7D& utm_medium=%7BSUBID2%7D&utm_source=9uqNe044201ec0000000008066419&referer=https%3A%2F%2Fwww.zdescargas.org%2F&jtd=[long base64 string, removed from this post]
- https://arch.cloud341.click/request/media/7pOtO44kg3fGrWo6tjl2kprV/
- https://arch.cloud341.click/request/media/7pOtO44kg3fGrWo6tjl2kprV/Adobe_Premiere_Pro_(2025)_Full_Multilenguaje_%5BMega%5D.zip
- https://media.mydrive.beauty/Adobe_Premiere_Pro_%282025%29_Full_Multilenguaje_%5BMega%5D.zip?c=AIk73WiZbAUA_YUCAFVTFwASAAAAAAD5&s=355481
- https://www.zdescargas.org/adobe-premiere-pro-2024-full-x64-espanol-up4/
- media.cloud341.click/Acronis_True_Image_Build_42072_Bootable_ISO.zip?c=AJ3Ew2gvYwUA_YUCAElUFwAGAAAAAABl&s=353071
- media.cloud341.monster/fl+studio+20+license+file+free+download.zip
- media.cloud341.xyz/file.zip?c=AIY4xWhYdAUAXFgCAE9NFwASAAAAAAD6&s=357464
- media.cloud3413.click/ByJusticeorMercy-v14-pc.zip.zip?c=AF_CwWgCeAUAXFgCAE5PFwASAAAAAAD8&s=358402
- media.cloud9342.homes/Hollow-Knight-Silksong-SteamRIP.com.rar.zip?c=AHfS3GgCeAUACocCAEtaFwASAAAAAABS&s=358402
- media.cloud9342.quest/Download.zip?c=AIbc3GjrdAUAXFgCAE1YFwASAAAAAADI&s=357611
- media.cloud93421.click/Download_DreamWorks_Madagascar_(USA)_(v3.01).zip?c=AIb9yWiKcwUAn4ICAElRFwASAAAAAABe&s=357258
- media.cloud934221.baby/COMO_INSTALAR.zip?c=ALfN3GiKcwUA_YUCAE1YFwASAAAAAAAm&s=357258
SHA256
- 5df7d64dc8f4bf02a6d6955519ca2b8b2fa16c0067d8afe26b2561df21ced981
- 881619a47b62b52305d92640cc4d4845a279c23a5a749413785fc8fcb0fdf7fb
- cb0d93731fcdf83c28b4debe3556c12270196ca4aadc04385ed6959d865a4c76
- eae2f1b0f822cd81954fb2d6237d0a8dbf8e8b759912561ce1c00862c552d02d
- ef8d1d0fc3ce83d5f8ec9ca74355d5c214004a6c05972051df62e4a4a7bc9be9
