Меню Закрыть

Даркнет маркет, сайт OMG! Под видом инструмента для DDoS’а российских сайтов распространяется инфостилер

Ссылка на Гидра сайт зеркало – hydra2web.cm
Ссылка на Гидра через Tor: hydrarulpfiemp3khy7bjlmdbgeewzghah2p2vail4gc3xlxkq3dsvyd.onion

---------------------------------------------------------------------

Ссылка на OMG – http://omgomgomgjnzdsg56m7g2u6nhhpexn7e6qrlpzhng7yhm52gnbov7fad.onion
Ссылка на зеркало OMG: https://omgomg.store

Зеркало на ОМГ!

Под инструмент для Disbalanscer.zip замаскирован известный еще с 2019 года инфостилер Phoenix.

Специалисты Cisco Talos предупредили хактивистов, желающих DDoS’ить российские сайты о том, что они сами могут стать жертвами киберпреступников. По их словам, в Telegram распространяется инструмент якобы для осуществления DDoS-атак на российские ресурсы, который на самом деле крадет криптовалюту у того, кто его использует.

Под инструмент для хактивистов Disbalanscer.zip замаскирован известный еще с 2019 года инфостилер Phoenix, похищающий данные криптовалютных кошельков. «Начинал» вредонос как кейлоггер, но уже в течение нескольких месяцев превратился в полноценный инфостилер с мощным механизмом обхода обнаружения и модулями, препятствующими его анализу.

Площадка омг сайт

Примечательно, что группа под названием disBalancer действительно существует. Она предлагает «легитимный» инструмент для осуществления DDoS-атак на российские сайты, но называется он Liberator (Disbalancer.exe). Примечательно, что на сайте группировки в названии допущена опечатка – disBalancher вместо disBalancer.

Disbalanscer.zip же маскируется под этот инструмент, но на самом деле является инфостилером. Он защищен с помощью упаковщика ASProtect для исполняемых файлов Windows.

«Если исследователь попытается сделать отладку исполняемого файла вредоносного ПО, появится ошибка. После попытки отладки вредонос запустит Regsvcs.exe, включенный вместе с фреймворком .NET. В данном случае regsvcs.exe не используется как LoLBin (предоставляемый ОС двоичный файл, который обычно используется в легитимных целях, но также может быть использован хакерами – ред.). Он внедрен в вредоносный код, состоящий из инфостилера Phoenix», – пояснили эксперты.

Стоящие за вредоносной кампанией злоумышленники отнюдь не новички. Они распространяют инфостилеры как минимум с ноября прошлого года. Похищенные данные вредонос отправляет на удаленный IP-адрес в России 95[.]142.46.35 на порт 6666.

  Даркнет маркет, сайт OMG! Anonymous украли 20 терабайт данных у немецкого подразделения «Роснефти»

Зеркала Гидра тор

Добавить комментарий