Вредоносные двойники Avast, Bitdefender и Malwarebytes распространяют стилеры

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Как мошенники зарабатывают на популярности антивирусных программ.

Специалисты Trellix в середине апреля 2024 года обнаружили несколько поддельных сайтов, имитирующих сервисы Avast, Bitdefender и Malwarebytes, которые злоумышленники используют для распространения инфостилеров среди пользователей Android и Windows.

Были обнаружены следующие сайты:

avast-securedownload[.]com – используется для доставки трояна SpyNote в виде APK-файла («Avast.apk»). Анализ разрешений, запрашиваемых файлом, показал, что вредоносное ПО способно:

  • устанавливать и удалять пакеты;
  • читать журналы вызовов, SMS, контакты и данные хранилища;
  • отслеживать состояние сети и Wi-Fi;
  • записывать аудио;
  • отключать блокировку экрана;
  • отслеживать касания экрана;
  • отслеживать местоположение устройства;
  • записывать действия пользователя;
  • автоматически устанавливать программы;
  • майнить криптовалюту.

Malwarebytes[.]pro – используется для доставки RAR-архива («MBSetup.rar»), который развертывает вредоносное ПО StealC для кражи данных. Внутри архива также инструмент для создания инсталляторов Inno Setup, файл readme и несколько легитимных DLL.

Вредоносный код собирает и передает на сервер следующую информацию, помимо прочего:

  • сохраненные платежные данные;
  • системные данные;
  • историю браузера;
  • cookie-файлы;
  • учетные данные пользователей.

bitdefender-app[.]com – распространяет ZIP-архив («setup-win-x86-x64.exe.zip»), в котором содержится вредоносное ПО Lumma Stealer. Исследование показало, что файл использует обратные вызовы TLS для выполнения вредоносной активности до точки входа.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Вредоносное ПО декодирует скрытые строки и внедряет их в «BitLockerToGo.exe» из системного каталога Windows. Основная цель вредоносного ПО — сбор и кража конфиденциальной информации, такой как имя ПК, имя пользователя, данные о системе и браузере.

Также были выявлены вредоносные бинарные файлы Trellix, маскирующиеся под легитимные. Например, AMCoreDat.exe создает и наполняет вредоносным содержимым несколько файлов в каталоге %appdata%, что затрудняет обнаружение антивирусами.

  Zoom ставит на ИИ: компания хочет создать «цифровых двойников» для сотрудников

Дальше файлы собираются в один бинарный файл, который затем крадет информацию с устройства, в том числе данные для входа, cookie-файлы, история браузера, имя пользователя, и отправляет ее на C2-сервер.

Скриншоты фейковых сайтов

В настоящее время неясно, как распространяются поддельные сайты, но в подобных кампаниях в прошлом использовались такие методы, как вредоносная реклама (малвертайзинг) и отравление SEO (SEO Poisoning).

В Trellix подчеркнули, что хостинг вредоносного ПО на сайтах, которые выглядят легитимными, предназначен для заражения обычных пользователей, особенно тех, кто хочет защитить свои устройства от кибератак. Пользователи должны быть особенно внимательны при загрузке антивирусных программ и других файлов из интернета, тщательно проверяя подлинность источников. Важно использовать только проверенные и официальные сайты для загрузки программного обеспечения, а также регулярно обновлять антивирусные программы для защиты от подобных угроз.

Ваши гаджеты следят за вами. Мы знаем, как это остановить!

Присоединяйтесь

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий