Открытые каталоги, трояны, C2-сервера: как устроена кухня молодых хакеров
NewsMakerProton66 становится инкубатором для преступников, начинающих с фейковых антивирусов.
Исследователи выявили растущую угрозу со стороны сети Proton66 — хостинг-платформы, предоставляющей так называемый «пуленепробиваемый» хостинг, которую активно используют начинающие киберпреступники для распространения вредоносного ПО и других незаконных проектов. Ключевой фигурой в новом расследовании стал неизвестный ранее актор Coquettte, связанный с группировкой Horrid.
Поводом для расследования послужил сайт cybersecureprotect[.]com, маскирующийся под легитимный антивирусный продукт. На деле он оказался частью инфраструктуры, распространяющей вредоносное ПО. Ошибка в операционной безопасности (OPSEC) привела к тому, что директория сайта оказалась открытой, и исследователи получили доступ ко всей структуре, включая дропперы и исполняемые вредоносные файлы.
В частности, был обнаружен архив CyberSecure Pro.zip, содержащий установщик CyberSecurePro.msi. При запуске тот подключался к URL-адресам cia[.]tf и quitarlosi[.] и загружал вторую стадию вредоносного ПО. Малварь была идентифицирована как Rugmi (также известный как Penguish) — модульный загрузчик, предназначенный для доставки инфостилеров, троянов и другого вредоносного софта.
Платформа Proton66 выступает связующим звеном для многочисленных вредоносных ресурсов, включая сайты, имитирующие авторитетные бренды, банковские порталы и криптобиржи. В большинстве случаев такие сайты создаются с целью кражи учётных данных и распространения малвари. При этом наблюдается низкий уровень технической грамотности у их операторов — от незащищённых директорий до однотипных доменов и конфигураций.
Особый интерес вызвал сам Coquettte — судя по данным с сайта coquettte[.]com, это молодой человек, представившийся как 18-летний разработчик, обучающийся на программиста. На сайте содержались ссылки на проекты и контактные данные, включая GitHub, YouTube и даже профиль Last.fm под псевдонимом chickenwing_11. Эта цифровая активность, наряду с ошибками в OPSEC, лишь подчёркивает неопытность и возраст фигуранта.
Исследователи обнаружили, что домен cia[.]tf, выступающий в роли C2-сервера, был зарегистрирован с почты root[@]coquettte[.]com, что напрямую связывает его с Coquettte. В результате анализа также был выявлен ряд связанных ресурсов:
Проекты Coquettte, указанные в файле other_projects.txt на его сайте, включают:
Даже акторы с ограниченными знаниями и опытом, имея доступ к платформам вроде Proton66, могут развернуть полноценные вредоносные кампании, представляющие серьёзную угрозу. Внимательное отслеживание подобных инфраструктур и своевременное реагирование на индикаторы компрометации остаются ключевыми мерами защиты для корпоративных и персональных систем.
Исследователи выявили растущую угрозу со стороны сети Proton66 — хостинг-платформы, предоставляющей так называемый «пуленепробиваемый» хостинг, которую активно используют начинающие киберпреступники для распространения вредоносного ПО и других незаконных проектов. Ключевой фигурой в новом расследовании стал неизвестный ранее актор Coquettte, связанный с группировкой Horrid.
Поводом для расследования послужил сайт cybersecureprotect[.]com, маскирующийся под легитимный антивирусный продукт. На деле он оказался частью инфраструктуры, распространяющей вредоносное ПО. Ошибка в операционной безопасности (OPSEC) привела к тому, что директория сайта оказалась открытой, и исследователи получили доступ ко всей структуре, включая дропперы и исполняемые вредоносные файлы.
В частности, был обнаружен архив CyberSecure Pro.zip, содержащий установщик CyberSecurePro.msi. При запуске тот подключался к URL-адресам cia[.]tf и quitarlosi[.] и загружал вторую стадию вредоносного ПО. Малварь была идентифицирована как Rugmi (также известный как Penguish) — модульный загрузчик, предназначенный для доставки инфостилеров, троянов и другого вредоносного софта.
Платформа Proton66 выступает связующим звеном для многочисленных вредоносных ресурсов, включая сайты, имитирующие авторитетные бренды, банковские порталы и криптобиржи. В большинстве случаев такие сайты создаются с целью кражи учётных данных и распространения малвари. При этом наблюдается низкий уровень технической грамотности у их операторов — от незащищённых директорий до однотипных доменов и конфигураций.
Особый интерес вызвал сам Coquettte — судя по данным с сайта coquettte[.]com, это молодой человек, представившийся как 18-летний разработчик, обучающийся на программиста. На сайте содержались ссылки на проекты и контактные данные, включая GitHub, YouTube и даже профиль Last.fm под псевдонимом chickenwing_11. Эта цифровая активность, наряду с ошибками в OPSEC, лишь подчёркивает неопытность и возраст фигуранта.
Исследователи обнаружили, что домен cia[.]tf, выступающий в роли C2-сервера, был зарегистрирован с почты root[@]coquettte[.]com, что напрямую связывает его с Coquettte. В результате анализа также был выявлен ряд связанных ресурсов:
- meth[.]to и meth[.]su — сайты с инструкциями по производству наркотиков, взрывчатки и краже катализаторов.
- terrorist[.]ovh — ещё один домен, использующий ту же инфраструктуру.
- horrid[.]xyz — сайт, предположительно принадлежащий хакерской группе Horrid, в которую может входить Coquettte.
Проекты Coquettte, указанные в файле other_projects.txt на его сайте, включают:
- meth[.]to — чёрный справочник по химии и взрывчатым веществам;
- cia[.]tf — C2-сервер для доставки вредоносного ПО;
- xn--xuu[.]ws — терминалоподобный сайт на базе кода mercurywork.shop.
Даже акторы с ограниченными знаниями и опытом, имея доступ к платформам вроде Proton66, могут развернуть полноценные вредоносные кампании, представляющие серьёзную угрозу. Внимательное отслеживание подобных инфраструктур и своевременное реагирование на индикаторы компрометации остаются ключевыми мерами защиты для корпоративных и персональных систем.