Эксперты компании F.A.C.C.T. (ранее Group-IB в России), российского разработчика технологий для борьбы с киберпреступлениями, обнаружили масштабную сеть из более чем 1300 доменов, распространяющих вредоносные программы, под видом популярных утилит, офисных приложений вместе с ключами активации или активаторов — ПО, предназначенного для обхода встроенных систем защиты программ от неавторизованного использования.
Пользователи, пытавшиеся установить популярный софт, переставший работать в России, загружали на свои компьютеры шпионское ПО, стилеры и криптомайнеры.
Руководитель Центра кибербезопасности компании F.A.С.С.T. Ярослав Каргалев пояснил:
С уходом иностранных вендоров и исчезновением из легального поля некоторых популярных лицензионных программ российские пользователи и администраторы стали чаще прибегать к поиску обходных путей, в том числе, использования «кряков» и других нелегальных способов активации. Наблюдая подобный спрос, злоумышленники активно создают сайты, на которых пользователи вместо программы скачивают вредоносное ПО, и активно продвигают их на популярных ресурсах.
Злоумышленники делились информацией о преимуществах программ со ссылками на взломанные версии в популярных российских социальных сетях, на видеохостингах и образовательных платформах.
В большинстве случаев жертвы загружали файлы, содержащие вредоносное ПО семейства Amadey. В качестве дополнительного модуля подгружался криптомайнер Coinminer. Другая часть вредоносных экземпляров относится к стилерам, среди которых можно выделить RedLine Stealer, Vidar, CryptBot и другие.