Хочешь пиратский 3DMark или Adobe Acrobat Pro? Получи инфостилер RedLine
Главная » Новости
Первый летний опен-эйр для специалистов по кибербезопасности 17 июля в 11:00 встречаемся в «Берёзы Парк Строгино», где обсудим ИИ в кибербезе, таргетированные атаки, цифровую криминалистику и Bug Bounty.
В программе:
• доклады и практические кейсы;
• воркшопы и киберучения;
• спикерские консультации и живой нетворкинг;
• игровые активности и квест по социнженерии;
• научпоп с Владимиром Сурдиным.→ Купить билет
Реклама. АО «Инфосистемы Джет», ИНН 7729058675, 7+

Хочешь пиратский 3DMark или Adobe Acrobat Pro? Получи инфостилер RedLine

Екатерина Быстрова 24 Августа 2022 - 16:53
...
Хочешь пиратский 3DMark или Adobe Acrobat Pro? Получи инфостилер RedLine

Специалисты выявили несколько кампаний по распространению вредоносных программ, нацеленных на любителей пиратского софта. В результате хочешь на халяву скачать 3DMark, а получаешь в систему инфостилер.

Злоумышленники используют технику SEO poisoning и запускают рекламные кампании, чтобы продвинуть свои ресурсы в поисковой выдаче. На сайтах предлагается скачать «кряки», кейгены и т. п.

 

Чтобы привлечь любителей скачать программы бесплатно, преступники маскируют их под популярный софт. В атаках, на которые обратили внимание специалисты Zscaler, операторы использовали следующие приложения в качестве приманки:

  • Adobe Acrobat Pro
  • 3DMark
  • 3DVista Virtual Tour Pro
  • 7-Data Recovery Suite
  • MAGIX Sound Force Pro
  • Wondershare Dr. Fone

Чаще всего файлы инсталляции хранятся на файлообменниках, а пользователя просто перенаправляют туда для их скачивания. В отчете исследователей упоминаются сайты, используемые в этих кампаниях:

  • xproductkey[.]com
  • allcracks[.]org
  • prolicensekeys[.]com
  • deepprostore[.]com
  • steamunlocked[.]one
  • getmacos[.]org

На компьютер клюнувшего пользователя скачивается запароленный ZIP-архив весом 1,3 МБ. Пароль идет рядом в текстовом файле TXT. Такой подход помогает обойти антивирусные сканеры при скачивании.

После распаковки вес содержимого составляет 600 МБ, при этом используется «выравнивание данных» — известный способ размещения данных в памяти, помогающий в этом случае уйти от анализа.

Исполняемый файл в архивах является загрузчиком вредоноса. Он выжидает десять секунд (чтобы исключить анализ в песочнице) и запускает процесс cmd.exe. Последний скачивает в систему JPG-файл, который на деле оказывается DLL.

Конечный DLL представляет собой знаменитый вредонос RedLine — мощный инфостилер, способный вытаскивать данные из браузеров, закладок, cookies, криптокошельков, VPN и т. п.

Следующая главная новость »
AM LiveИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Android-троян Rokarolla маскируется под Google Play Protect
Екатерина Быстрова 29 Июня 2026 - 12:33
Android Трояны Домашние пользователи
Android-троян Rokarolla маскируется под Google Play Protect

Пока пользователи думают, что устанавливают защиту, мошенники устанавливают троян. Исследователи обнаружили новый Android-вредонос Rokarolla, который распространяется через поддельные сайты, маскируясь под Google Play Protect, Google Chrome, TikTok и другие популярные приложения.

На первый взгляд схема банальна — жертву уговаривают скачать APK с фейкового сайта.

После установки Rokarolla просит предоставить права Accessibility Service, доступ к СМС, уведомлениям и другим важным функциям. Если пользователь соглашается, смартфон фактически переходит под управление злоумышленников.

По данным исследователей, троян нацелен как минимум на 217 банковских и криптовалютных приложений. При запуске одного из них вредонос показывает фальшивую страницу входа, практически неотличимую от настоящей. Все введенные логины, пароли и платежные данные сразу отправляются на серверы операторов.

Но этим возможности Rokarolla не ограничиваются. Он умеет перехватывать СМС с одноразовыми кодами, отправлять сообщения от имени пользователя, блокировать телефонные звонки, подменять содержимое буфера обмена — например, криптокошельки, — а также вести кейлоггинг, делать скриншоты, извлекать текст с экрана и даже собирать контакты WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России).

Для управления заражённым устройством используется развитая инфраструктура командных серверов. Исследователи насчитали не менее 137 удалённых команд, позволяющих обновлять настройки атаки, запускать новые фишинговые страницы, управлять устройством и собирать данные.

Чтобы оставаться незаметным, Rokarolla пытается отключить Google Play Protect, скрывает свой значок, подавляет уведомления и использует обманные оверлеи, мешающие пользователю заметить подозрительную активность.

Эксперты отмечают, что современные банковские трояны постепенно превращаются в универсальные платформы для цифрового мошенничества. Лучшей защитой по-прежнему остается отказ от установки приложений из сторонних источников, использование только Google Play, включенный Play Protect и максимально осторожное отношение к запросам на выдачу прав Accessibility.

AM LiveИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!
Apple начала блокировать на iPhone альтернативный Telegram-клиент Telega
Новость
Apple начала блокировать на iPhone альтернативный Telegram-к...
Российские банкоматы научат работать без мобильного интернета
Новость
Российские банкоматы научат работать без мобильного интернет...
Не удаляйте SecureBoot: зачем Windows 11 создала новую папку в C:\Windows
Новость
Не удаляйте SecureBoot: зачем Windows 11 создала новую папку...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.