**Распространение вредоносного ПО через пиратское ПО: глобальная угроза**
В августе 2023 года наша SOC команда обнаружила аномальную сетевую активность с помощью MaxPatrol SIEM. В ходе расследования инцидента, проведенного командой PT CSIRT, было установлено, что пользователь компании X стал жертвой относительно простого, но ранее неизвестного вредоносного ПО. Пользователь просто установил программу, скачанную через торрент.
Вредоносное ПО вело себя довольно шумно: собирало информацию о компьютере жертвы, устанавливало RMS (программу для удаленного управления) и майнер XMRig, архивировало содержимое папки Telegram (tdata) пользователя — и это лишь самые разрушительные действия. Собранная информация отправлялась на Telegram-бота, который выступал в роли управляющего сервера.
В результате детального изучения вредоносного ПО, цепочки заражения и Telegram-бота наша команда смогла выявить большое количество жертв по всему миру и определить вероятного автора вредоносного ПО, которое мы назвали AutoIt Stealer.
Мы зафиксировали более 250,000 зараженных устройств в 164 странах. Большинство (более 200,000) находятся в России, Украине, Беларуси и Узбекистане. В топ-10 стран также вошли Индия, Филиппины, Бразилия, Польша и Германия.
Большинство жертв — некорпоративные пользователи, которые скачивают пиратское ПО с сайтов на свои домашние компьютеры. Однако среди жертв также оказались государственные учреждения, образовательные организации, нефтегазовые компании, медицинские учреждения, строительные и горнодобывающие компании, розничные сети, IT-компании и другие. Все выявленные компании получили соответствующие уведомления.
Цепочка заражения начинается с загрузки торрент-файла с сайта topsoft[.]space. Сайт был перерегистрирован в октябре 2022 года украинским регистратором. После загрузки торрента на компьютер жертвы попадает зараженный установщик программы. Помимо легитимной программы установщик содержит вредоносный компонент, состоящий из множества отдельных программ, в основном скомпилированных скриптов AutoIt, дополнительно упакованных Themida. Реализация вредоносного ПО не выглядит сложной; она выполнена по учебнику и использует простые тактики атаки.
Эта ситуация подчеркивает важность использования легального программного обеспечения и соблюдения мер кибербезопасности.
