Команда DomainTools Intelligence обнаружила копию сайта Bitdefender, отдающую Venom RAT под видом Windows-версии антивируса. Как оказалось, вместе с трояном удаленного доступа на машины жертв загружаются инструмент постэксплуатации и стилер.
Вредоносная фальшивка bitdefender-download[.]com, по словам аналитиков, очень убедительна и мало чем отличается от оригинала.
Клик по вставленной кнопке инициирует загрузку файла BitDefender.zip по URL Bitbucket (аккаунт уже заблокирован) с перенаправлением на хранилище Amazon S3.
В архиве спрятан StoreInstaller.exe (уровень детектирования на VirusTotal — 51/71 по состоянию на 28 мая) с конфигурацией Venom RAT (форк опенсорсного Quasar RAT) и кодами, ассоциируемыми с другими проектами с открытым исходным кодом — фреймворком SilentTrinity и стилером StormKitty.
«Эти инструменты действуют согласованно, — отметили исследователи. — Venom RAT прокрадывается внутрь, StormKitty ворует пароли и данные криптокошельков, а SilentTrinity обеспечивает скрытность и позволяет атакующим сохранить контроль».