На пользователей нелицензионных версий корпоративного ПО для автоматизации бизнеса обрушилась новая волна атак. Злоумышленники распространяют на специализированных форумах модифицированные активаторы HPDxLIB, внутри которых скрыт стилер RedLine. Этот вредоносный код спрятан с использованием.NET Reactor, а также многослойного шифрования и сжатия, что затрудняет его обнаружение. По имеющимся данным, кампания началась в январе 2024 года и продолжает угрожать тем, кто использует пиратское ПО.
Атакующие нацеливаются на предпринимателей, предлагая зараженные активаторы под видом обновленных версий. Их вредоносный код отличается использованием.NET вместо C++ и наличием самоподписанного сертификата с уникальным отпечатком. Для повышения доверия злоумышленники подробно описывают возможности своих решений, но умалчивают о вредоносной нагрузке. При этом пользователям предлагается отключать защитные механизмы и добавлять активаторы в исключения, что делает их системы уязвимыми.
Процесс заражения происходит через замену легитимной библиотеки techsys.dll на модифицированную версию. При запуске зараженной программы происходит подгрузка вредоносной DLL, которая активирует стилер. Этот метод не использует уязвимостей в самом ПО, а базируется на доверии пользователей к скачанным файлам.
Особую сложность для анализа представляет внедренная библиотека loader.hpdx.dll. Она зашифрована, обфусцирована и содержит зашифрованный блок данных, в котором скрыт стилер RedLine. В ходе анализа было выявлено, что этот блок сначала расшифровывается с использованием XOR, затем декодируется из Base85, а затем подвергается расшифровке алгоритмом AES-256-CBC.
Финальная нагрузка — стилер RedLine, сжатый алгоритмом Deflate, — активируется через вызов Assembly.Load(). Этот стилер распространяется по модели Malware‑as‑a‑Service, что позволяет злоумышленникам арендовать его для собственных кампаний. RedLine крадет данные браузеров, мессенджеров и системные сведения, отправляя их на сервер злоумышленников.
Подобные атаки демонстрируют риск использования пиратского ПО, особенно для бизнеса. Конфиденциальная информация, украденная стилерами, может быть продана на теневых форумах или использоваться для дальнейших атак, включая вымогательство. Злоумышленники не только адаптировали свои методы под бизнес‑аудиторию, но и готовы вкладывать средства в развитие своих инструментов.
Использование нелицензионного ПО превращается в серьезную угрозу для компаний. Чтобы избежать финансовых потерь и утечек данных, важно использовать только лицензионные решения и не доверять сторонним активаторам.
Источник новости: habr.com
