Текущая кампания по распространению вредоносного ПО, нацеленная на Южную Корею, маскирует RAT (трояны удаленного доступа) под игру для взрослых, распространяемую через веб-сайты и торренты.
Злоумышленники используют легко доступные вредоносные программы, такие как njRAT и UDP RAT, упаковывают их в пакет, похожий на игру или другую программу, а затем загружают их на веб-хард.
WebHard — это популярное онлайн-хранилище в Корее, которое предпочитают в основном из-за удобства прямой загрузки.
Пользователи попадают на веб-сайты через Discord или сообщения в социальных сетях, но популярные хранилища ежедневно получают постоянный поток посетителей из-за контента, которым они делятся.
Как сообщают аналитики ASEC, злоумышленники теперь используют веб-хардеры для распространения UDP RAT, замаскированного под ZIP-файл, содержащий игру для взрослых.
При извлечении архив содержит программу запуска game.exe, которая на самом деле является вредоносной программой с рейтингом UDP.
После выполнения Game.exe сбрасывает RAT, упакованный Themida, и становится скрытым, а затем создает новый файл Game.exe, который запускает саму игру, убеждая жертву, что все прошло хорошо.
Исполняемые файлы вредоносных программ помещаются в папку C:\Program Files\4.0389 и представляют собой программы сбора вредоносных программ, которые могут подключаться к C&C и загружать дополнительные вредоносные полезные данные.
Для этой кампании ASEC не смог выполнить выборку каких-либо дополнительных полезных нагрузок, поэтому эта функциональность может быть сохранена для будущего развертывания или используется просто периодически.
Вредоносное ПО, такое как njRAT, особенно опасно, поскольку оно может украсть конфиденциальную информацию злоумышленников , включая учетные данные и нажатия клавиш.
Эти инструменты обычно способны делать снимки экрана на взломанном устройстве, а также изменять реестр Windows для сохранения.
В этом случае вредоносная программа добавляет ключ реестра для обеспечения периодического подключения к серверу C2, сохраняя возможность получения дополнительных полезных данных.
Актеры использовали различные уловки, чтобы убедить людей загружать файлы njRAT в свои системы, но службы хостинга файлов и торренты остаются стабильным источником проблем.
Webhards, как правило, представляют собой нерегулируемые пространства, и никто не проверяет, что пользователи загружают и делятся с другими на платформе, поэтому всякий раз, когда вы указываете на одно, будьте очень осторожны.
ASEC снова предупредила об этом риске в июне , когда злоумышленники распространили еще одну массовую вредоносную программу, замаскированную под платформер под названием «Затерянные руины».
Этот пакет также позволял запускать игру и вредоносное ПО одновременно, что значительно усложняло обнаружение заражения.
Последнее обновление 05.01.2023
