Троян Vidar меняет IP-адреса и начал использовать Tor-релеи

Троян Vidar меняет IP-адреса и начал использовать Tor-релеи

Троян Vidar меняет IP-адреса и начал использовать Tor-релеи

Киберпреступники, стоящие за Vidar, продолжают вносить изменения в бэкенд-инфраструктуру, стремясь сократить свой след в Сети. Меняя хостинг, владельцы инфостилера, по данным Team Cymru, отдают предпочтение провайдерам Молдавии и России.

В начале года исследователи заметили, что операторы криминального сервиса на основе трояна разделили свою инфраструктуру на две части: одну выделили постоянным клиентам, другую оставили для собственных нужд и, возможно, для VIP-персон.

Основным доменом во всех операциях Vidar является my-odin[.]com; он используется и для размещения панелей управления, и для аутентификации аффилиатов, и для расшаривания файлов. До недавнего времени файлы с сайта можно было загружать без авторизации, а теперь, по словам экспертов, пользователя перенаправляют на страницу входа.

Сервер, на котором размещен этот сайт, за три месяца трижды сменился. Вначале домен разрешался в IP 186.2.166[.]15, затем в 5.252.179[.]201, а в конце марта — уже в 5.252.176[.]49.

Примерно в то же время был реализован доступ к my-odin[.]com через VPN. На 5.252.176[.]49 были также зафиксированы исходящие соединения с легитимным сайтом blonk[.]co и хостом, расположенным в России (185.173.93[.]98:443).

К началу мая у головного сайта Vidar появился новый IP-адрес — 185.229.64[.]137, а операторы трояна получили возможность доступа к аккаунтам и репозиториям через Tor-релеи.

 

Коммерческий инфостилер Vidar активен в интернете с 2018 года и предоставляется в пользование как услуга (Malware-as-a-Service, MaaS). Зловред обычно распространяется через спам-рассылки и сайты, рекламирующие пиратский софт. Злоумышленники также могут с этой целью использовать Google Ads или программы-загрузчики вроде Bumblebee.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

МВД сообщило о пяти мошеннических схемах на тему доставки еды

МВД России выявило пять мошеннических схем, связанных с темой доставки еды. Из них полностью офлайновой является только одна — связанная с подменой заказов или доставкой «пустышек». Три из пяти схем основаны на различных вариантах фишинга.

О схемах, эксплуатирующих тему доставки, сообщило ТАСС со ссылкой на материалы МВД. Первая и наиболее распространённая схема — создание поддельных сайтов и приложений, внешне полностью копирующих легитимные сервисы доставки.

Мошенники таким образом получают доступ к платёжным данным, которые пользователи вводят в формах оплаты на этих клонах.

Вторая схема связана с рассылкой поддельных ссылок для отслеживания заказов. Такие сообщения распространяются через СМС или мессенджеры и также ведут на страницы, где от пользователя требуют ввести данные банковской карты.

Третья фишинговая схема — фальшивые скидки и бонусы. Мошенники предлагают якобы выгодные акции, чтобы привлечь пользователей на вредоносные сайты и похитить их данные.

По данным исследования компании F6, в 2025 году розничная торговля, включая доставку продуктов и готовой еды, заняла первое место среди всех отраслей по объёму фишинговых атак. На неё пришлось около половины всех случаев фишинга и треть мошеннических схем (скама).

Существуют и схемы, не связанные с фишингом. В одном из вариантов злоумышленники сообщают клиенту о несуществующей ошибке при оплате заказа и предлагают вернуть деньги. Под этим предлогом они запрашивают данные банковской карты или коды из СМС.

Единственная полностью офлайновая схема — подмена заказов. В этом случае клиент получает не те блюда, что заказывал, или вовсе «пустую» доставку. Обычно такие действия совершают не реальные курьеры, а злоумышленники, выдающие себя за сотрудников служб доставки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru