Фальшивый сайт Bitdefender распространяет три вредоносные программы
Фальшивый сайт Bitdefender распространяет три вредоносных инструмента: VenomRAT, StormKitty и SilentTrinity. Поддельная страница имитирует официальный ресурс антивируса, но перенаправляет пользователей на зараженные файлы, размещенные на Bitbucket и Amazon S3.
Жертвы скачивают файл StoreInstaller.exe, который запускает процесс заражения. Вредоносный код включает три компонента:
- VenomRAT — обеспечивает удаленный доступ и контроль.
- StormKitty — собирает учетные данные и данные криптокошельков.
- SilentTrinity — скрытно передает данные и поддерживает долгосрочный контроль.
Инфраструктура атаки
Злоумышленники используют одни и те же IP-адреса для командных серверов, что указывает на скоординированную кампанию. Также обнаружены фишинговые домены, имитирующие банки и IT-сервисы:
- idram-secure[.]live — подделка армянского IDBank.
- royalbanksecure[.]online — имитация Royal Bank of Canada.
- dataops-tracxn[.]com — фальшивый вход в Microsoft.
Тенденции
Атака демонстрирует растущую популярность открытого вредоносного ПО. Злоумышленники используют готовые инструменты, что ускоряет разработку и масштабирование атак.
Рекомендации: проверяйте источники загрузок, не вводите данные на подозрительных сайтах и осторожно относитесь к ссылкам в письмах.
