В марте 2024 года аналитики Центра кибербезопасности F.A.C.C.T. выявили масштабную кампанию по распространению вредоносного программного обеспечения (ВПО) под видом взломанных программ. Инцидент произошел в одной из российских компаний, когда сотрудник скачал вредоносный файл, который был идентифицирован как Vidar — шпионское ПО, собирающее данные с компьютера жертвы. Собранные пользовательские данные могут использоваться для угона аккаунтов в мессенджерах, например, Telegram, хищения денежных средств с банковских карт и криптокошельков. Помимо кражи данных, Vidar может применяться в качестве загрузки других модулей вредоносного ПО. Аналитики установили, что вредоносный архив был загружен с файлообменника MediaFire, а перед этим пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты, офисные приложения — как их взломанные версии, так и отдельно активаторы к ним — ПО, предназначенное для обхода встроенных систем защиты программ от неавторизованного использования. Исследование зараженного сайта показало, что в кампании участвовало более 1300 уникальных доменов. Доменные имена часто объединялись схожими ключевыми словами, такими как crack, software, key, soft. Часть найденных доменов была недоступна, но продолжала иметь связи с активными ресурсами, что подтверждало их участие в распространении вредоносного ПО. Аналитиков поразило не только количество ресурсов, но и методы продвижения сайтов: злоумышленники создали целую сеть поддельных аккаунтов в соцсетях, активно размещая рекламные посты на видеохостингах и образовательных платформах. В LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО. Ресурсы-приманки были созданы с использованием типовых шаблонов, чаще всего на WordPress. Это объясняется лёгкостью и доступностью этой платформы для создания контента. Примечательно также, что чаще всего на сайте встречаются авторы с ником admin. В начале веб-страницы содержится краткое описание предлагаемого ПО, например различных пакетов Microsoft Office, решений компании Adobe, AutoCad, Nanocad, программ активации офисных приложений и операционных систем KMS. Также присутствует навигация по сайту с поиском, последними публикациями, выбором категорий и ссылками на социальные сети, такие как Facebook*, Twitter**, LinkedIn, Pinterest. Злоумышленники старались убедить пользователей в безопасности предлагаемого ПО. Например, в описаниях утверждалось, что программы не наносят вреда системным файлам. В конце статей размещались ссылки для скачивания вредоносного ПО, иногда с альтернативной ссылкой на официальный сайт ПО. Во всех случаях вредоносное ПО распространялось в виде запароленных архивов. Структура архивов включала один исполняемый файл и другие необходимые файлы. Большинство вредоносных экземпляров принадлежали семейству Amadey, которое собирает данные и загружает дополнительные модули. Также встречались стилеры, такие как Vidar, RedLine Stealer, CryptBot и Ramnit. Особенно интересен тот факт, что злоумышленники нашли новую категорию потенциальных жертв — пользователей, столкнувшихся с проблемой использования легального ПО из-за санкций и ограничений. В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователи стали искать обходные пути для использования нужных программ. Как показал инцидент, предложения установить взломанное ПО могут содержать вредоносную нагрузку, что приводит к компрометации данных пользователя и всей инфраструктуры организации.