Verschillende malwarefamilies gebruiken Pay-Per-Install-service om hun doelen uit te breiden

Pay-Per-Install Service Nachrichten

Een gedetailleerd onderzoek van een Pay-per-install (PPI)-malwareservice genaamd PrivateLoader heeft zijn cruciale rol onthuld bij de levering van een verscheidenheid aan malware, zoals SmokeLoader, RedLine Stealer, Vidar, Wasbeeren GCleaner in ieder geval sinds mei 2021.

Loaders zijn kwaadaardige programma’s die worden gebruikt om extra uitvoerbare bestanden op de geïnfecteerde machine te laden. Met PPI-malwareservices zoals PrivateLoader betalen malware-operators de service-eigenaren om hun payloads “geïnstalleerd” te krijgen op basis van de opgegeven doelen.

“De toegankelijkheid en gematigde kosten stellen malware-exploitanten in staat om deze services te gebruiken als een ander wapen voor snelle, bulk- en geografisch gerichte malware-infecties”, cyberbeveiligingsbedrijf Intel 471 zei in een nieuw rapport gedeeld met The Hacker News.

Betaal-per-installatieservice

PrivateLoader, geschreven in de programmeertaal C++, is ontworpen om URL’s op te halen voor de kwaadaardige payloads die op de geïnfecteerde host moeten worden ingezet, waarbij de distributie voornamelijk afhankelijk is van een netwerk van lokaaswebsites die zijn gemanipuleerd om prominent in de zoekresultaten te verschijnen via de zoekmachine optimalisatie (SEO) vergiftigingsmethoden gericht op gebruikers die op zoek zijn naar illegale software.

Het administratieve paneel dat door de PPI-service wordt gebruikt, biedt een schat aan functies, waaronder het toevoegen van nieuwe gebruikers, het configureren van een link naar de te installeren payload, het aanpassen van geolocatietargeting op basis van de campagne en zelfs het coderen van het laadbestand.

Andere veelvoorkomende payload-families die door PrivateLoader worden gepusht, zijn onder meer een combinatie van trojans voor externe toegang, bankmalware en ransomware zoals DanaBot, Formulierenboek (ook bekend als XLoader), CryptBot, Remcos, NanoCore, TrickBot, Kronos, Dridex, NjRAT, BitRAT, Agent Teslaen LockBit.

“PPI-services zijn al tientallen jaren een pijler van cybercriminaliteit”, aldus de onderzoekers. “Net als de bredere bevolking zullen criminelen massaal naar software gaan die hen een breed scala aan opties biedt om hun doelen gemakkelijk te bereiken.”

David
Rate author
Hackarizona