Malvér maskovaný ako cracknutý softvér infikoval milióny zariadení prostredníctvom zmanipulovaných výsledkov vyhľadávania. Spolupracovníci v sieti pay-per-install premenili pirátstvo na globálny kybernetický zločin. Útočníci náhodne odhalili svoju operáciu potom, čo boli sami infikovaní tým istým malvérom.
Kybernetickí zločinci so sídlom v Pakistane boli spojení s operáciou, ktorá distribuovala infostealer malvér maskovaný ako cracknutý softvér a počas piatich rokov nahromadila milióny dolárov.
Správy tvrdia, že sieť, ktorej stopy viedli primárne do Bahawalpuru a Faisalabadu, fungovala ako viacúrovňový predajný model, s tým rozdielom, že produktom bol škodlivý kód.
Skupina lákala obete prostredníctvom otravy optimalizáciou pre vyhľadávače a príspevkov na fórach, ktoré inzerovali pirátske programy, ako napríklad Adobe After Effects a Internet Download Manager.
Dočasné domény maskovali skutočný zdroj malvéru.
Tieto záznamy presmerovali používateľov na škodlivé stránky WordPress, kde bol malvér ako Lumma Stealer, Meta Stealer a AMOS vložený do archívov chránených heslom.
Finančnou chrbtovou kosťou operácie bola dvojica sietí Pay-Per-Install (PPI): InstallBank a SpaxMedia, neskôr premenované na Installstera.
Spolupracovníci boli platení za každú úspešnú inštaláciu alebo stiahnutie malvéru, pričom viac ako 5 200 členov prevádzkovalo najmenej 3 500 stránok.
Sledované príjmy presahujú 4 milióny dolárov a platby sa uskutočňovali predovšetkým prostredníctvom Payoneer a Bitcoin.
Rozsah bol rozsiahly, pričom záznamy ukazujú 449 miliónov kliknutí a viac ako 1,88 milióna inštalácií počas zdokumentovaného obdobia.
Kampaň nabrala obrat, keď samotní útočníci boli infikovaní infostealer malvérom, čím odhalili poverenia, komunikáciu a backendový prístup k ich vlastným systémom PPI.
Tento únik odhalil silné náznaky zapojenia rodiny, s opakujúcimi sa priezviskami a zdieľanými účtami, ktoré sa objavovali v celej infraštruktúre.
Skupina postupom času zmenila stratégiu, prešla od sledovania založeného na inštaláciách v roku 2020 k metrikám zameraným na sťahovanie v neskorších rokoch, čo bola zmena, ktorá mohla byť zameraná na vyhýbanie sa detekcii alebo prispôsobenie sa novým metódam speňažovania.
Dlhodobé stránky sa ukázali ako najziskovejšie, pričom malý zlomok domén generoval väčšinu inštalácií a príjmov.
Na oddelenie zdroja infekcie od konečného doručenia užitočného zaťaženia sa používali aj dočasné domény s krátkou životnosťou.
To poukazuje na riziká pirátskeho softvéru, ktorý často slúži ako počiatočná metóda doručovania takéhoto malvéru.
Ako zostať v bezpečí:
Vyvarujte sa sťahovaniu cracknutého alebo pirátskeho softvéru, pretože ide o bežnú metódu doručovania infostealer malvéru. Používajte legitímne zdroje softvéru, ako sú oficiálne webové stránky vývojárov a dôveryhodné distribučné platformy. Udržujte bezpečnostné balíky aktualizované, aby detekovali a blokovali známe hrozby predtým, ako sa spustia. Nakonfigurujte firewall, aby zabránil škodlivým programom v komunikácii so vzdialenými servermi. Povoľte viacfaktorové overovanie, aby odcudzené heslá samy o sebe nemohli udeliť prístup k účtu. Pravidelne monitorujte bankové, e-mailové a online účty, či neobsahujú známky krádeže identity. Zálohujte dôležité údaje do zabezpečeného offline alebo cloudového úložiska, aby ste umožnili obnovu po útoku. Informujte sa o nových kybernetických hrozbách a podozrivej aktivite domén. Buďte opatrní pri ponukách, ktoré poskytujú drahý softvér zadarmo, pretože často nesú skryté bezpečnostné riziká.
