Un esame dettagliato di un servizio di malware Pay-per-install (PPI) chiamato PrivateLoader ha rivelato il suo ruolo cruciale nella consegna di una varietà di malware come SmokeLoader, RedLine Stealer, Vidar, Raccoon e GCleaner almeno dal maggio 2021.
I Loaders sono programmi maligni utilizzati per caricare ulteriori eseguibili sulla macchina infetta. Con i servizi di malware PPI come PrivateLoader, gli operatori di malware pagano i proprietari del servizio per far “installare” i loro payloads in base agli obiettivi forniti.
“L’accessibilità e i costi moderati permettono agli operatori di malware di sfruttare questi servizi come un’altra arma per infezioni malware rapide, di massa e geo-targettizzate“, ha dichiarato la società di cybersecurity Intel 471.
Servizio Pay-Per-Install
PrivateLoader, scritto nel linguaggio di programmazione C++, è progettato per recuperare gli URL per i payload maligni da distribuire sull’host infetto, con la distribuzione che si basa principalmente su una rete di siti web esca che sono stati truccati per apparire in modo prominente nei risultati di ricerca tramite metodi di avvelenamento di ottimizzazione dei motori di ricerca (SEO) che mirano agli utenti alla ricerca di software pirata.
Il pannello amministrativo utilizzato dal servizio PPI offre una ricchezza di funzioni, tra cui l’aggiunta di nuovi utenti, la configurazione di un link al payload da installare, la modifica del targeting della geolocalizzazione in base alla campagna e persino la crittografia del file di carico.
Altre famiglie di payload comuni spinti da PrivateLoader includono un mix di trojan di accesso remoto, malware bancario e ransomware come DanaBot, Formbook (aka XLoader), CryptBot, Remcos, NanoCore, TrickBot, Kronos, Dridex, NjRAT, BitRAT, Agent Tesla e LockBit.
“I servizi PPI sono stati un pilastro del crimine informatico per decenni”, hanno detto i ricercatori. “Proprio come la popolazione in generale, i criminali si affolleranno al software che fornisce loro una vasta gamma di opzioni per raggiungere facilmente i loro obiettivi”.
