Бесплатная активация Windows превратилась в ловушку: хакеры крадут данные пользователей

Группа Sandworm, связанная с российскими военными, использует поддельные активаторы Windows и фальшивые обновления для заражения компьютеров в Украине. Исследователи EclecticIQ выявили, что вредоносное ПО распространяется через мошеннические сайты и загружает троян DcRAT, который крадет данные с зараженных устройств.

Атаки стартовали ещё в конце 2023 года и продолжаются до сих пор. Хакеры создают поддельные страницы активации Windows, которые отключают защиту системы и устанавливают бэкдор. Среди украденных данных — пароли, куки браузеров, история посещений и снимки экрана. Злоумышленники используют инфраструктуру, связанную с прошлогодними кибератаками, и активно регистрируют новые домены через ProtonMail.

Эксперты отмечают, что одной из причин успеха таких атак стала популярность пиратского софта. Из-за широкого использования нелицензионных программ многие пользователи, включая компании и госструктуры, подвергаются риску заражения. Sandworm активно использует этот фактор, превращая поддельные активаторы в оружие кибершпионажа.

Группировка Sandworm, также известная как APT44 и UAC-0113, действует с 2009 года и связана с российским ГРУ. За последние годы её атаки включали отключение энергосистем, распространение вредоносов и сбор разведывательной информации. Эксперты предупреждают, что фальшивые активаторы могут стать частью более масштабных атак.