【安全资讯】PrivateLoader安装付费恶意软件服务分析

猎影实验室 2022-02-15 06:51:11 922人浏览

引言

2月8日,研究人员披露了一个名为PrivateLoader的安装付费(PPI)恶意软件服务。至少从2021年5月起,该软件在SmokeLoader、RedLine Stealer、Vidar、Raccoon和GCleaner等各种恶意软件的分发中发挥了至关重要的作用。

 

 

简况

PrivateLoader是一种恶意程序,可以将额外的可执行程序加载到受感染的计算机上。使用PPI恶意软件服务的攻击团伙向服务提供者付费,使其在目标设备安装有效载荷。安装付费(PPI)恶意软件服务具有可访问性且成本适中,恶意软件运营商可以利用这种服务快速、批量和有针对性地感染目标。

 

PrivateLoader 是用 C++ 编程语言编写的,旨在检索要部署在受感染主机上的恶意负载的 URL,主要依赖于诱饵网站网络进行分发。PPI 服务使用的管理面板提供了丰富的功能,包括添加新用户、配置要安装的有效负载的链接、根据活动修改地理定位目标,甚至加密加载文件。

 

PrivateLoader 推送的其他常见负载包括远程访问木马、银行恶意软件和勒索软件的组合,如DanaBot、Formbook(又名 XLoader)、CryptBot、Remcos、NanoCore、TrickBot、Kronos、Dridex、NjRAT、BitRAT、Agent Tesla和LockBit。

 

PrivateLoader PPI服务下载的每个恶意软件家族的数量如下:

 

 

总结

几十年来,PPI 服务一直为网络犯罪提供支持,犯罪分子已经使用 PrivateLoader 等软件启动了各种后续攻击活动。

失陷指标(IOC)22
PrivateLoader 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。