Sajber-bezbjednosni tim Unit 42 iz Palo Alto Networks otkrio je aktivne kampanje distribucije opasnog Windows malvera pod nazivom “Blitz”, koji se širi putem lažnih paketa za varanje u igrama. Blitz je prvi put otkriven 2024. godine, a nove verzije malvera i dalje su aktivne.

 

Sajber kriminalci zloupotrebljavaju legitimne AI repozitorije koda

 

Napadači koriste pouzdane platforme poput Hugging Face Spaces — repozitorijum za AI kod — za hostovanje i distribuciju zaraženih paketa za varanje u igrama, koji sadrže Blitz malver. Ovi zlonamjerni paketi se intenzivno promovišu na društvenim mrežama i Telegram kanalima, što omogućava široku dostupnost malvera.

Prema istraživanju Unit 42, operater Blitz malvera najvjerovatnije je ruski haker sa nadimkom sw1zzx. On je i autor malvera, a Telegram koristi kao glavni kanal za širenje zaraženih varanja.

 

Blitz se širi preko lažnog “cracked” softvera i paketa za varanje u igrama

 

Unit 42 je identifikovao barem dvije glavne kampanje distribucije Blitz malvera. Prva je koristila lažne instalacione fajlove “cracked” verzija legitimnih programa. Kasnije su napadači prešli na širenje Blitz-a putem paketa za varanje u igrama, prvenstveno ciljajući mobilnu igru Standoff 2 — popularni multiplayer sa više od 100 miliona preuzimanja.

Igrači koji preuzmu i raspakuju ove pakete za varanje, a zatim pokrenu .exe fajl na Windows računarima, često putem BlueStacks emulatora za Android, nenamjerno pokreću Blitz downloader. Paket se predstavlja kao legitimni cheat, ali u sebi krije maliciozni kod.

 

Kako Blitz malver izbjegava detekciju i inficira uređaje

 

Blitz koristi napredne tehnike poput enkripcije i provjere sandbox okruženja da bi izbjegao otkrivanje od strane antivirusnih programa. Nakon pokretanja, downloader se povezuje na servere pod kontrolom napadača, skida i instalira Blitz bot na zaraženi uređaj.

Blitz bot uspostavlja trajni pristup sistemu, omogućavajući hakerima potpunu kontrolu nad računarom. Njegove glavne funkcije uključuju:

  • Keylogging: Snima korisničke unose (lozinke, podatke).
  • Pravljenje snimaka ekrana: Tajno špijunira aktivnosti korisnika.
  • Rudarenje kriptovaluta: Koristi procesor uređaja za rudarenje.
  • DDoS napadi: Koristi zaraženi uređaj za izvođenje distribuiranih napada uskraćivanja usluge.
  • Izvršavanje komandi: Omogućava daljinsko pokretanje komandi i instalaciju dodatnog malvera.

 

Geografska analiza Blitz infekcija

 

Analiza 289 potvrđenih slučajeva pokazuje da je najveći broj zaraženih uređaja u Rusiji (166), zatim Ukrajini (45), Bjelorusiji (23) i Kazahstanu (12), što ukazuje na regionalni fokus napada.

 

Operater Blitz malvera objavio oproštajnu poruku

 

Nakon što je Unit 42 otkrio detalje o Blitz kampanji, operater sa nadimkom sw1zzx objavio je oproštajnu poruku na Telegramu, uključujući alat za uklanjanje Trojanca — moguće da time želi da zaustavi svoje aktivnosti ili izbjegne istrage.

Stručnjaci za bezbjednost upozoravaju na opasnost korištenja “cracked” softvera
Unit 42 snažno preporučuje da korisnici izbjegavaju preuzimanje i korištenje nelegalnog softvera i varanja u igrama. Osim što je nezakonito i neetično, takav softver predstavlja ozbiljan sigurnosni rizik, uključujući infekcije malverom poput Blitz.

„Izbjegavajte preuzimanje i korištenje piratskog softvera ili varanja u igrama. Ovi fajlovi često kriju malvere koji mogu ugroziti vaš sistem i lične podatke,“ upozoravaju stručnjaci.