Специалисты компании Positive Technologies обнаружили вредоносную кампанию, связанную со скачиванием софта с торрент-трекеров. Пострадавших оказалось не мало: ими стали более 250 000 пользователей в 164 странах мира. При этом большая часть жертв — граждане РФ, Украины, Белоруссии и Узбекистана.
Начало истории лежит в августе 2023 года, когда эксперты Positive Technologies зафиксировали аномальную активность неназванной российской компании. Компрометация данных пользователя была произведена простым, но неизвестным ранее вредоносом. В итоге, эксперты не нашли следов фишинга, взлома внешнего контура и других техник. Но выяснилось, что пользователь установил программу, скачанную через торрент с сайта topsoft[.]space.
Зараженный установщик программы содержит не только легитимный, но и вредоносный компонент, который состоит из множества отдельных программ, в основном представляющих собой скомпилированные AutoIt-скрипты, дополнительно «скрытые» пакером Themida.
Исследователи отмечают, что реализация малвари не выглядит сложной. Она сделана буквально «по методичке» и использует простые тактики реализации атаки.
В зараженных системах малварь «вела себя» достаточно шумно: собирала информацию о компьютере жертвы, устанавливала RMS (Remote Manipulator System) и майнер XMRig, архивировала содержимое пользовательской папки Tekegram (tdata) и др. А после собранная информация передавалась Telegram-боту, выступающему в роли управляющего сервера.
Вероятной целью атаки исследователи называют перепродажу доступов как в сети, так и в Telegram. Вот несколько сообщений о скупке tdata в сети:
В результате детального изучения этой угрозы, цепочки заражения и Telegram-бота эксперты обнаружили более 250 000 зараженных устройств в 164 странах. Большая часть жертв (более 200 000) находится в России, Украине, Белоруссии, Узбекистане. Также в топ-10 стран вошли Индия, Филиппины, Бразилия, Польша, Германия.
В основном, компрометации подверглись некорпоративные пользователи, которые скачивали пиратской софт на свои домашние компьютеры. Однако среди пострадавших есть и государственные структуры, образовательные учреждения, нефтяные и газовые компании, медицинские учреждения, строительные, горнодобывающие компании, ритейл, IT и так далее.