Аналитикам F.A.C.C.T., российской компании, специализирующейся на противодействии киберпреступности, удалось выявить сеть из более чем 1300 доменов, которые распространяли вредоносные программы, маскируясь под популярные утилиты и офисные приложения вместе с ключами активации или активаторами. Об этом «Газете.Ru» стало известно из нового отчета компании.
Пользователи, пытавшиеся установить популярное программное обеспечение, переставшее работать в России, сталкивались с загрузкой шпионского ПО, стилеров и криптомайнеров. Специалисты обнаружили и локализовали серию инцидентов, связанных с попытками загрузки вредоносного файла на рабочие компьютеры сотрудников, пытавшихся активировать или скачать нелицензионное программное обеспечение.
На основе технических данных инцидентов, эксперты F.A.C.C.T. с помощью системы графового анализа выявили сеть из 1316 уникальных доменов, связанных с ресурсами, предлагающими нелегально устанавливать ПО: антивирусы, программы для работы с фото и видео, офисные приложения, программы для проектирования и моделирования и т.д.
Регистрация доменных имен осуществлялась на протяжении длительного периода, и часть из них уже была недоступна. Однако, продолжают появляться и новые доменные имена, например, в первом квартале 2024 года было обнаружено 28 регистраций доменных имен, на которых позже был размещен вредоносный контент в рамках данной кампании.
Для продвижения вредоносных ресурсов использовались различные сервисы, включая LinkedIn, где было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО. Большая часть учетных записей была зарегистрирована в Пакистане, Индии и Бангладеш.
Ранее выяснилось, что в России до сих пор остаются компании, которые не перешли на отечественную защиту от DDoS.