Man
Professional
- Messages
- 2,965
- Reaction score
- 488
- Points
- 83
Аналитики «Лаборатории Касперского» раскрыли таргетированную вредоносную кампанию, нацеленную на сотрудников бухгалтерий, пользующихся нелицензионного ПО. Киберпреступники распространяли на профильных форумах пиратский активатор HPDxLIB, предназначенный для популярного бухгалтерского софта.
Исследователи отмечают, что кампания началась еще в январе 2024 года и остается активной до сих пор. На форумах создаются темы, в которых детально описывается функциональность активатора по обходу проверки лицензии. При этом в инструкции по использованию содержится отдельное упоминание, что все это не сработает, если не отключить защиту на устройстве и не добавить вредоносные файлы в исключения.
Аналитики признали также высокий уровень подготовки авторов кампании. По их словам, стилер RedLine спрятан весьма необычным образом: библиотека активатора сильно обфусцирована с помощью .NET Reactor, а вредоносный код сжат и зашифрован в несколько слоев. Само ПО снабжено самоподписанным сертификатом, чего нет в чистых версиях активатора. Кроме того, в них используется C++.
В компании уверены, что преступники нацелены на организации русскоязычных предпринимателей, использующие программное обеспечение для автоматизации бизнес-процессов. Сами атаки с помощью сомнительных решений не является новым ходом, однако заход на бизнес вместо простых пользователей показался исследователям довольно нестандартным.
Исследователи отмечают, что кампания началась еще в январе 2024 года и остается активной до сих пор. На форумах создаются темы, в которых детально описывается функциональность активатора по обходу проверки лицензии. При этом в инструкции по использованию содержится отдельное упоминание, что все это не сработает, если не отключить защиту на устройстве и не добавить вредоносные файлы в исключения.
Аналитики признали также высокий уровень подготовки авторов кампании. По их словам, стилер RedLine спрятан весьма необычным образом: библиотека активатора сильно обфусцирована с помощью .NET Reactor, а вредоносный код сжат и зашифрован в несколько слоев. Само ПО снабжено самоподписанным сертификатом, чего нет в чистых версиях активатора. Кроме того, в них используется C++.
В компании уверены, что преступники нацелены на организации русскоязычных предпринимателей, использующие программное обеспечение для автоматизации бизнес-процессов. Сами атаки с помощью сомнительных решений не является новым ходом, однако заход на бизнес вместо простых пользователей показался исследователям довольно нестандартным.
