2SDnjd76ePt
Под видом инструмента для DDoS’а российских сайтов распространяется инфостилер
Специалисты Cisco Talos предупредили хактивистов, желающих DDoS’ить российские сайты о том, что они сами могут стать жертвами киберпреступников. По их словам, в Telegram распространяется инструмент якобы для осуществления DDoS-атак на российские ресурсы, который на самом деле крадет криптовалюту у того, кто его использует, сообщает SecurityLab.
Под инструмент для хактивистов Disbalanscer.zip замаскирован известный еще с 2019 года инфостилер Phoenix, похищающий данные криптовалютных кошельков. «Начинал» вредонос как кейлоггер, но уже в течение нескольких месяцев превратился в полноценный инфостилер с мощным механизмом обхода обнаружения и модулями, препятствующими его анализу.
Примечательно, что группа под названием disBalancer действительно существует. Она предлагает «легитимный» инструмент для осуществления DDoS-атак на российские сайты, но называется он Liberator (Disbalancer.exe). Примечательно, что на сайте группировки в названии допущена опечатка – disBalancher вместо disBalancer.
Disbalanscer.zip же маскируется под этот инструмент, но на самом деле является инфостилером. Он защищен с помощью упаковщика ASProtect для исполняемых файлов Windows.
«Если исследователь попытается сделать отладку исполняемого файла вредоносного ПО, появится ошибка. После попытки отладки вредонос запустит Regsvcs.exe, включенный вместе с фреймворком .NET. В данном случае regsvcs.exe не используется как LoLBin (предоставляемый ОС двоичный файл, который обычно используется в легитимных целях, но также может быть использован хакерами – ред.). Он внедрен в вредоносный код, состоящий из инфостилера Phoenix», – пояснили эксперты.
Стоящие за вредоносной кампанией злоумышленники отнюдь не новички. Они распространяют инфостилеры как минимум с ноября прошлого года. Похищенные данные вредонос отправляет на удаленный IP-адрес в России 95[.]142.46.35 на порт 6666.
Теги:
похожие материалы
Platform V SOWA AI от СберТеха поможет бизнесу контролировать и безопасно масштабировать работу ИИ
Российский разработчик ПО СберТех объявляет о выводе на рынок решения Platform V SOWA AI, которое формирует новый уровень безопасности при работе с искусственным интеллектом.
Доверяй, но проверяй: даже если файл подписан Microsoft, доверять ему не всегда можно
В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest.
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.
VPN-ограничения не обрушили аудиторию, но ударили по привычке покупать «на ходу»
Аудитория крупных российских сервисов, ограничивших доступ пользователям с включенным VPN, в апреле почти не изменилась или снизилась в пределах 5%.
Банковскую карту теперь «прикладывают» через чужой телефон
Специалисты обнаружили два новых семейства Android-вредоносов для NFC-relay-атак - DevilNFC и NFCMultiPay.
NVIDIA закрыла 13 уязвимостей в драйверах GPU - часть могла привести к выполнению кода
NVIDIA выпустила майское обновление безопасности для GPU Display Drivers, закрывающее 13 уязвимостей в драйверах для Windows и Linux.
В GitHub признали факт взлома платформы
Веб-сервис GitHub взломали, в результате чего злоумышленники получили несанкционированный доступ к внутренним репозиториям.
Минпромторг усомнился в происхождении российских процессоров
Минпромторг попросил привлекать дополнительных экспертов к проверке российских процессоров «Иртыш» компании «Трамплин Электроникс».
ИИ добрался до цепочек эксплойтов: Cloudflare показала, что изменил Mythos
Cloudflare несколько недель тестировала Claude Mythos Preview от Anthropic на собственном коде и запустила модель более чем на 50 репозиториях.
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.
