PrivateLoader Trojan

Unbekannte Cyberkriminelle haben anderen Hacker-Outfits einen leistungsstarken Loader-Stamm in einem Pay-per-Install-Schema angeboten. Das bedeutet, dass die Ersteller der Bedrohung Zahlungen von ihren Kunden erhalten, basierend auf der Anzahl der Opfer und erfolgreich geknackten Geräte. Die Bedrohung wird als PrivateLoader verfolgt und seit mindestens Mai 2021 in Angriffsoperationen verwendet.

Loader-Malware-Stämme werden normalerweise in den frühen Stadien der Angriffe verwendet und fungieren als Übermittlungssystem für bedrohlichere beschädigte Payloads der nächsten Stufe. Wenn es speziell um PrivateLoader geht, wurde beobachtet, dass Smokeloader- , Redline- und Vidar -Varianten abgerufen und bereitgestellt werden.

Smokeloader besitzt eine ähnliche Loader-Funktionalität, kann aber auch Datendiebstahl und Aufklärungsaktivitäten durchführen. Vidar wird als Spyware klassifiziert und ist in der Lage, verschiedene Daten wie Passwörter, vertrauliche Dokumente und Details zu digitalen Geldbörsen zu extrahieren. Bei Redline handelt es sich um eine Bedrohung, die sich darauf konzentriert, die Anmeldeinformationen der Opfer zu sammeln.

Verteilung und Details

Laut einem von den Forschern von Intel 471 veröffentlichten Bericht wird PrivateLoader hauptsächlich über kompromittierte Downloadseiten und gecrackte Softwareprodukte verbreitet. Diese bewaffneten Versionen beliebter Softwareanwendungen können zusammen mit vermeintlichen Schlüsselgeneratoren gebündelt werden, Programme, die es Benutzern ermöglichen, die volle Funktionalität bestimmter Anwendungen illegal freizuschalten, ohne für ein Zertifikat oder ein Abonnement zu bezahlen.

Der erste Angriffsvektor könnte ein JavaScript sein, das beim Klicken auf die Download-Schaltflächen auf den angegriffenen Websites ausgelöst wird. Als Ergebnis wird ein kompromittiertes .ZIP-Archiv auf dem System des Benutzers abgelegt. Es enthält eine ausführbare Datei, die beim Start mehrere Malware-Bedrohungen auslöst, darunter PrivateLoader.

Die Verwaltung der Bedrohung erfolgt über ein mit AdminLTE 3 erstelltes Administrator-Panel. Die Angreifer können die über den Loader gelieferte Nutzlast auswählen, sowie die Zielorte und -länder, die Download-Links für die bedrohliche Nutzlast, die verwendete Verschlüsselung für die Kommunikation mit dem Kommando- and-Control (C2, C&C) Server und mehr.