KMSPico: сэкономил на Windows – прощайся с данными

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Как хакеры маскируют рассадники вирусов, чтобы они занимали высокие позиции в поисковой выдаче?

Компания по кибербезопасности eSentire сообщила о новой операции по распространению инфостилера Vidar через фальшивые сайты, маскирующиеся под столь популярные в странах СНГ инструменты активации Windows, как KMSPico.

KMSPico и прочие продукты серии KMS представляют собой нелегальные инструменты для активации Windows и других продуктов Microsoft, обходящие лицензионные ограничения. Пользователи часто ищут их в интернете, чтобы бесплатно активировать своё ПО, не приобретая лицензию. Однако такие инструменты нередко используются злоумышленниками для распространения вредоносного ПО.

В рассмотренном специалистами eSentire инциденте, один из пользователей зашёл на сайт «kmspico[.]ws» и едва не скачал оттуда заражённый вирусом активатор. После тщательного анализа сайта и его содержимого эксперты пришли к следующим выводам:

«Сайт “kmspico[.]ws” защищён CAPTCHA-системой Cloudflare Turnstile и требует ввода кода для загрузки финального ZIP-пакета», — отметили в eSentire. «Эти шаги весьма необычны для легитимных сайтов загрузки и направлены на то, чтобы скрыть страницу и конечный вредоносный файл от автоматизированных веб-сканеров».

В России и ищешь VPN? Покупай через Телеграмм-бот:

В скачанном ZIP-архиве, проанализированном экспертами, содержались Java-зависимости и исполняемый файл «Setuper_KMS-ACTIV.exe». При запуске этот файл отключал поведенческий мониторинг в Windows Defender и запускал скрипт AutoIt. Скрипт AutoIt, в свою очередь, расшифровывал и запускал вредоносное ПО Vidar Stealer.

Сам по себе Vidar является довольно известным похитителем данных. Вредонос способен собирать логины, пароли, историю браузера, cookie-файлы, данные автозаполнения, а также финансовую информацию, такую как данные банковских карт и криптовалютных кошельков. Собранные данные отправляются на командный сервер, где злоумышленники могут получить к ним доступ.

  ICARUS: как Европа готовится к безопасным посадкам на Марсе

В рассмотренной кампании Vidar Stealer использовал Telegram для хранения IP-адреса C2-сервера, скрывая его в легитимных сервисах. Этот метод позволяет злоумышленникам управлять заражёнными системами, не раскрывая своей инфраструктуры.

Аналогичные атаки с использованием социальной инженерии зачастую используют поддельные сайты, имитирующие законное программное обеспечение, такое как, например, Advanced IP Scanner. Именно с его помощью, согласно недавнему отчёту Trustwave SpiderLabs, злоумышленники в последнее время распространяют Cobalt Strike.

Таким образом, можно сделать вывод, что любой софт, будь то официальные лицензионные программы или нет, нужно скачивать только с проверенных и заслуживающих доверия источников. Большинство сомнительных сайтов, предлагающих различное программное обеспечение, в конечном итоге оказываются рассадниками вредоносного ПО, тщательно скрывающимися от автоматических систем веб-сканирования.

Искусственный интеллект уже умнее вас. Как не стать рабом машин?

Узнайте у нас!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий