«Лаборатория Касперского» рассказала о новой волне атак стилерами через активатор пиратского ПО
На пользователей нелицензионных версий корпоративного ПО для автоматизации бизнеса обрушилась новая волна атак. Злоумышленники распространяют на специализированных форумах модифицированные активаторы HPDxLIB, внутри которых скрыт стилер RedLine. Этот вредоносный код спрятан с использованием.NET Reactor, а также многослойного шифрования и сжатия, что затрудняет его обнаружение. По имеющимся данным, кампания началась в январе 2024 года и продолжает угрожать тем, кто использует пиратское ПО.
Атакующие нацеливаются на предпринимателей, предлагая зараженные активаторы под видом обновленных версий. Их вредоносный код отличается использованием.NET вместо C++ и наличием самоподписанного сертификата с уникальным отпечатком. Для повышения доверия злоумышленники подробно описывают возможности своих решений, но умалчивают о вредоносной нагрузке. При этом пользователям предлагается отключать защитные механизмы и добавлять активаторы в исключения, что делает их системы уязвимыми.
Процесс заражения происходит через замену легитимной библиотеки techsys.dll на модифицированную версию. При запуске зараженной программы происходит подгрузка вредоносной DLL, которая активирует стилер. Этот метод не использует уязвимостей в самом ПО, а базируется на доверии пользователей к скачанным файлам.
Особую сложность для анализа представляет внедренная библиотека loader.hpdx.dll. Она зашифрована, обфусцирована и содержит зашифрованный блок данных, в котором скрыт стилер RedLine. В ходе анализа было выявлено, что этот блок сначала расшифровывается с использованием XOR, затем декодируется из Base85, а затем подвергается расшифровке алгоритмом AES-256-CBC.
Финальная нагрузка — стилер RedLine, сжатый алгоритмом Deflate, — активируется через вызов
Читать на habr.com

