PrivateLoader Trojan
Ciberdelincuentes desconocidos han estado ofreciendo una potente cepa de carga a otros equipos de piratas informáticos en un esquema de pago por instalación. Esto significa que los creadores de la amenaza reciben pagos de sus clientes, en función del número de víctimas y de los dispositivos vulnerados con éxito. La amenaza se rastrea como PrivateLoader y se ha utilizado en operaciones de ataque desde al menos mayo de 2021.
Las cepas de malware del cargador se utilizan normalmente en las primeras etapas de los ataques y actúan como un sistema de entrega para cargas útiles corruptas más amenazantes en la siguiente etapa. Cuando se trata específicamente de PrivateLoader, se ha observado que obtiene e implementa variantes de Smokeloader , Redline y Vidar .
Smokeloader posee una funcionalidad de cargador similar, pero también puede realizar actividades de reconocimiento y robo de datos. Vidar está clasificado como software espía y es capaz de extraer varios datos, como contraseñas, documentos confidenciales y detalles de la billetera digital. En cuanto a Redline, es una amenaza, que se centra en recopilar las credenciales de las víctimas.
Distribución y Detalles
Según un informe publicado por los investigadores de Intel 471, PrivateLoader se distribuye principalmente a través de sitios de descarga comprometidos y productos de software pirateados. Estas versiones armadas de aplicaciones de software populares pueden incluirse junto con supuestos generadores de claves, programas que permiten a los usuarios desbloquear ilegalmente la funcionalidad completa de aplicaciones específicas sin pagar un certificado o suscripción.
El vector inicial de comprensión podría involucrar un JavaScript activado al hacer clic en los botones de descarga en los sitios web violados. Como resultado, un archivo .ZIP comprometido se colocará en el sistema del usuario. Contendrá un archivo ejecutable que, al iniciarse, activará varias amenazas de malware, incluido PrivateLoader.
La gestión de la amenaza se lleva a cabo a través de un panel de administrador creado con AdminLTE 3. Los atacantes pueden seleccionar la carga útil entregada a través del cargador, las ubicaciones y países objetivo, los enlaces de descarga para la carga útil amenazante, el cifrado utilizado para la comunicación con Command- Servidores and-Control (C2, C&C) y más.
