Троянов Raccoon и Vidar три года раздают с помощью TDS и сотни варез-сайтов

Троянов Raccoon и Vidar три года раздают с помощью TDS и сотни варез-сайтов

Троянов Raccoon и Vidar три года раздают с помощью TDS и сотни варез-сайтов

Эксперты французской ИБ-компании SEKOIA выявили обширную и гибкую инфраструктуру, которую операторы Raccoon и Vidar используют с начала 2020 года. Безымянная TDS-сеть (traffic distribution system, система распределения трафика) охватывает более 250 доменов; около сотни таких сайтов задействованы в распространении инфостилеров.

Все площадки, предоставленные злоумышленникам в рамках TDS-сервиса, имитируют источник пиратского софта и продвигаются через поисковики с помощью Google Ads или черного SEO. Поддельный сайт содержит ссылки для загрузки, по которым через пять редиректов можно попасть на целевую страницу с инструкциями, паролем и сокращенным URL, который предлагается скопировать в новую вкладку браузера.

По указанному адресу на машину с GitHub загружается запароленный RAR-архив. При его распаковке запускается установщик Raccoon или Vidar (чаще всего файл именуется Setup.exe).

Исследователи собрали более 120 образцов инфостилеров, распространяемых подобным образом. Имена вредоносных архивов обычно включают пароль (1234 или более новый — 2022) и ключевое слово — Application, Complete, File, Release, Version. Все используемые в рамках данной кампании RAR-файлы в основном хостятся на GitHub; выявлены два десятка специально созданных аккаунтов.

Поскольку Raccoon и Vidar предоставляются в пользование как услуга (Malware-as-a-Service, MaaS), аналитики смогли разделить свои находки на группы (ботнеты) на основании ID, найденных в семплах.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Дропперские карты пропали с черного рынка

С чёрного рынка практически исчезли так называемые дропперские комплекты — наборы, состоящие из платёжных карт, сим-карт и копий паспортов их владельцев. Это стало результатом мер, принятых регуляторами для противодействия теневым операциям.

Как рассказал «Известиям» основатель сервиса DLBI Ашот Оганесян, в мае предложения подобных комплектов практически исчезли. Обычно такие данные предоставляли сами граждане — либо из корыстных побуждений, либо по незнанию.

При этом спрос со стороны мошенников, использующих такие комплекты для вывода средств, остаётся высоким. Эту информацию подтвердили также представители компаний F6, «Телеком биржа» и Phishman.

Руководитель направления информационной безопасности «Телеком биржи» Александр Блезнеков назвал дефицит дропперских комплектов прямым следствием новых ограничений Банка России. В частности, если человек внесён в специальную базу дропов, сумма переводов с его карт ограничивается 100 тыс. рублей в месяц.

Кроме того, по словам эксперта, внедрены новые механизмы контроля с использованием технологий искусственного интеллекта. В результате дропперская карта может быть заблокирована в течение суток. В некоторых случаях, например, при операциях с небольшими суммами в составе «ферм», срок может быть чуть дольше.

Злоумышленники, в свою очередь, пытаются адаптироваться и продлить срок жизни таких карт. Один из популярных приёмов — так называемый «прогрев»: длительное использование карты для легальных транзакций перед применением в мошеннической схеме.

Тем не менее, как считают эксперты, у преступников ещё остались запасы ранее приобретённых комплектов. Кроме того, чёрный рынок — не единственный источник: платёжные реквизиты могут оформляться и на похищенные персональные данные случайных граждан.

Злоумышленники также активнее используют альтернативные схемы вывода средств. В частности, всё чаще средства обналичиваются через курьеров, либо переводятся на криптовалютные кошельки.

Генеральный директор Phishman Алексей Горелкин считает текущее снижение предложения временным и ожидает, что ситуация начнёт меняться уже в ближайший месяц. Однако, как уточнил Ашот Оганесян, стоимость комплектов вырастет существенно — выше прежнего уровня в 15–20 тыс. рублей.

По мнению Горелкина, новые меры, в том числе ограничение на количество карт, которые можно оформить на одно лицо, а также уголовная ответственность за участие в схемах дропперства, усиливают риски для продавцов. В результате, полагает эксперт, злоумышленники будут чаще использовать криптовалюту как основной инструмент для вывода средств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru