Хакер-любитель использует российский защищенный хостинг-сервер для распространения вредоносного ПО
Изображение: recraft
Исследователи компании DomainTools сообщили о новом участнике теневой цифровой сцены — хакере с псевдонимом Coquettte, который использует российский хостинг-сервер Proton66 для распространения вредоносных программ под прикрытием якобы легитимного программного обеспечения.
Proton66, как подчеркнули специалисты, давно вызывает обеспокоенность у международного сообщества. Некоторые зарубежные компании обвиняют этот хостинг в том, что он игнорирует обращения по поводу противоправной активности на размещённых у него ресурсах и, тем самым, способствует разрастанию киберугроз.
Хакер Coquettte, по данным экспертов DomainTools, активно использует инфраструктуру Proton66, чтобы продвигать не только вредоносные программы, но и распространять руководства по созданию запрещённых веществ и оружия. Исследователи впервые обратили внимание на деятельность злоумышленника через домен cybersecureprotect[.]com. Этот сайт внешне напоминал страницу, предлагающую решение в сфере кибербезопасности — продукт с названием CyberSecure Pro. Однако за привлекательной обёрткой скрывался загрузчик вредоносного ПО Rugmi.
По словам аналитиков DomainTools, доступ к внутреннему каталогу сайта стал возможен из-за грубого просчёта со стороны самого хакера. В результате они изучили содержимое ZIP-архива, якобы содержащего инсталлятор для Windows. Как выяснилось, этот файл представляет собой дроппер, используемый для загрузки Rugmi, а не инструмент защиты от угроз.
После запуска инсталлятор устанавливает соединение с двумя заранее указанными URL — cia[.]tf и quitarlosi[.]. Через них осуществляется загрузка второго этапа вредоносной нагрузки, которая затем активирует дополнительные исполняемые файлы с серверов, находящихся под контролем преступников.
Rugmi, как отмечают специалисты, представляет собой модульный загрузчик, предназначенный для доставки разнообразного вредоносного содержимого. Среди них встречаются программы для кражи данных, трояны и программы-вымогатели. В отчёте DomainTools перечислены и конкретные примеры вредоносного ПО, которое распространяется с помощью Rugmi: Vidar, Raccoon Stealer V2, Lumma Stealer и Rescoms.
Также в исследовании говорится, что Rugmi известен под иным именем — Penguish, и по структуре напоминает загрузчик Amadey. Вся эта инфраструктура активно задействуется Coquettte: на сервере Proton66 он разместил не только сайт-приманку, но и управляющий домен cia[.]tf, который взаимодействует с Rugmi при каждом запуске.
