В AhnLab Security Intelligence Center (ASEC) разработаны системы для предварительного реагирования на угрозы по типу Infostealer. Системы автоматически собирают вредоносное программное обеспечение и производят его анализ для определения вредоносности и связанных сетевых команд.
Описание
SEO-Poisoning - стратегия распространения вредоносного программного обеспечения, при которой появление постов о нелегальных программных решениях в поисковых системах стимулируется для достижения верхних позиций в поисковой выдаче.
Infostealer, распространяемые под видом нелегальных программ, таких как крэки и кейгены, обнаружены распространяться с использованием стратегии SEO-Poisoning. Некоторые из наиболее распространенных Infostealer включают Vidar, Cryptbot, Redline, Raccoon, StealC, LummaC2, Vidar, ACRStealer и Rhadamanthys.
Злоумышленники используют легальные сайты и различные сообщества для размещения статей и постов, распространяющих вредоносное программное обеспечение. Они также распространяют его через сервисы хостинга файлов, такие как Mega или Mediafire. Ряд случаев обнаружен, когда вредоносный код был загружен на торговые сайты на базе WordPress. Rhadamanthys Infostealer в некоторых случаях был подписан действительными сертификатами.
Тенденции в распространении вредоносного ПО включают увеличение размера вредоносных DLL-файлов для затруднения их обнаружения и антианализа, а также возрастающее использование инфостилера Rhadamanthys и его связь с другими вредоносными программами, такими как ACRStealer. В марте Rhadamanthys составил около 12% от общего числа распространяемых вредоносных программ.
Indicators of Compromise
MD5
- 030f54e96db8a7eb0601976cc7997748
- 06ec9cbab0c3b1b47e7686ad40d07987
- 0ac59d2c40eed713f35c3a1a0baa846b
- 0b04a2d692e0679243660865879628b2
- 13903bff189171d7da957a50c6fc5840
