Участник хакерского форума отложил $1 млн для покупки 0-day эксплойтов

Участник хакерского форума отложил $1 млн для покупки 0-day эксплойтов

Один из киберпреступников депонировал 26,99 биткоинов (почти равно одному миллиону долларов США) на одном из хакерских форумов. По словам специалистов Cyble, задача злоумышленника — приобрести у других участников сообщества эксплойты для уязвимостей нулевого дня (0-day).

Потенциальный покупатель эксплойтов действует под онлайн-псевдонимом «integra», начало его активности на киберпреступном форуме датируется сентябрём 2012 года. За это время integra успел заработать приличную репутацию на площадке.

Судя по всему, этот же гражданин в октябре 2012 года зарегистрировался и на другом форуме схожей тематики. Основной интерес integra — покупка вредоносных программ и эксплойтов, которые не детектируются антивирусными продуктами.

В частности, злоумышленника интересует возможность удалённого выполнения кода, а также локальное повышение прав в системе. Как отметили в Cyble, integra скупает:

  1. Лучшие трояны для удалённого доступа (RAT), которые пока не детектируются антивирусами.
  2. Ранее не использованные методы автозагрузки вредоносных программ в Windows 10. Участник киберпреступного сообщества предлагает 150 тысяч долларов за оригинальный способ.
  3. 0-day эксплойты, приводящие к удалённому выполнению кода или локальному повышению привилегий.

 

Около одного миллиона долларов, которые integra положил на эскроу-счёт, рассчитывая получить качественные эксплойты, говорят о том, что злоумышленник планирует масштабные кибератаки.

«Организациям следует установить все вышедшие патчи, устранив известные на данный момент уязвимости. Также не помешает проводить аудит информационной безопасности, чтобы быть готовыми к подобным атакам», — предупреждают эксперты Cyble.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Установщик активатора Windows — KMSPico похищает криптовалюту пользователей

Киберпреступники распространяют изменённые установщики KMSpico, заражая компьютеры на Windows вредоносной программой, похищающей данные криптовалютных кошельков. Специалисты Red Canary предостерегают пользователей от скачивания пиратского софта, который и является источником заражения.

KMSPico представляет собой популярный активатор для продуктов Microsoft Windows и Office, его задача — эмулировать сервер Windows Key Management Services (KMS) и активировать фейковую лицензию.

По данным Red Canary, многие ИТ-отделы используют KMSPico вместо лицензионного софта для активации систем. Именно поэтому сисадминам и обычным пользователям стоит учитывать риски, которые неизбежно связаны со скачиванием пиратского ПО.

Само собой, KMSPico размещён на сайтах соответствующей тематики, а выкладывающие этот активатор люди, как правило, оснащают подобные тулзы адваре и вредоносами. На скриншоте поисковой выдачи ниже можно увидеть множество ресурсов, распространяющих KMSPico. Причём каждый из них называет себя официальным сайтом:

 

Вредоносный инсталлятор KMSPico, на который наткнулись (PDF) эксперты Red Canary, содержал самораспаковывающийся архив 7-Zip, в котором хранился как сам эмулятор сервера, так и зловред Cryptbot. Злоумышленники воспользовались упаковщиком CypherIT, помогающим обфусцировать инсталлятор и скрыть его от антивирусных программ.

Также вредонос располагает скриптом, предназначенным для детектирования песочниц и виртуальных сред. Кроме того, Cryptobot проверяет наличие директории %APPDATA%\Ramson и запускает процесс самоуничтожения, если папка уже имеется на компьютере жертвы. Зловред собирает данные из следующих приложений:

  • Криптокошелёк Atomic
  • Браузер Avast Secure
  • Браузер Brave
  • Криптокошелёк Ledger Live
  • Браузер Opera
  • Waves Client и Exchange
  • Криптокошелёк Coinomi
  • Браузер Google Chrome
  • Криптокошелёк Jaxx Liberty
  • Криптокошелёк Electron Cash
  • Криптокошелёк Electrum
  • Криптокошелёк Exodus
  • Криптокошелёк Monero
  • Криптокошелёк MultiBitHD
  • Браузер Mozilla Firefox
  • Браузер CCleaner
  • Браузер Vivaldi
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru