长久以来，安装付费(PPI)恶意软件服务已经成为 *** 犯罪生态系统不可分割的一部分。恶意软件运营者提供支付、恶意有效载荷和目标信息，负责运行服务的人把分发和传播部分外包出去。可访问性和合适的成本使得恶意软件运营商可以利用这些服务作为一种武器，用于快速、批量和地理定位的恶意软件感染。

通过了解这些服务是如何扩散的，防御者可以更好地识别这些活动，并阻止它们对组织的 IT 堆栈造成严重破坏。本报告重点介绍了 PrivateLoader 模块化下载程序，该下载程序由 C++程式语言编写，连接到一个未经确认的 PPI 服务。PrivateLoader 位于此操作的前端，并与其后端基础设施通信，以检索 url，从而将恶意有效负载“安装”到受感染的主机上。正如与 PPI 服务绑定的下载一样，PrivateLoader 传送了各种数据，比如哪些有效载荷被下载并成功启动。

分发活动通常依靠搜索引擎优化(SEO)增强的网站 *** ，吸引毫无防备的搜索盗版软件的受害者下载并执行恶意软件。它通常会发送一个密码保护的存档，其中包含一个安装文件，该文件在受感染的主机上嵌入并执行多个恶意有效负载，如GCleaner、PrivateLoader、Raccoon、Redline、Smokeloader和Vidar恶意软件。我们估计，这些攻击活动从2021年5月起开始纳入PrivateLoader。

本报告调查了其背后的 PPI 服务和运营商使用的获取“安装”的 *** ，并提供了服务提供的恶意软件组的详细信息。

更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1829/

消息来源：intel471，封面来自 *** ，译者：Zoeppo。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 并附上原文链接。