哈希游戏- 哈希游戏平台- 哈希游戏官方网站

　　通过了解这些服务的传播方式，防御者可以更好地识别这些活动并阻止它们对其组织的 IT 堆栈造成严重破坏。本文重点介绍使用 C++ 编程语言编写的 PrivateLoader 模块化下载程序，该下载程序连接到未识别的 PPI 服务。PrivateLoader 位于此操作的前端，并与其后端基础设施进行通信，以检索恶意负载的 URL，以“安装”在受感染的设备上。就像与PPI服务绑定的下载程序一样，PrivateLoader会传播各种统计信息，比如哪些负载被下载并成功启动。

　　传播活动通常依赖于搜索引擎优化 (SEO) 增强型网站网络，吸引毫无防备的搜索盗版软件的受害者下载并执行恶意软件。受密码保护的压缩文件通常包含一个安装文件，该文件在受感染的设备上嵌入并执行多个恶意负载，例如 GCleaner、PrivateLoader、Raccoon、Redline、Smokeloader 和 Vidar 恶意软件。我们估计，这些活动至少从 2021 年 5 月开始包含 PrivateLoader。

　　这些网站托管Smokeloader的有效负载，作为三个类别的一部分，分别名为“pab1”、“pab2”和“pab3”。这些不一定与类似的“pub*”附属 ID 相关联，因为我们已经看到一些带有“555”附属 ID 的“pab2”有效负载。在跟踪 PrivateLoader 时，我们只收到了从这些网站下载“pab2”有效负载的链接。这些运营商很可能使用其他方法或 PPI 服务来传播 Smokeloader 家族。

　　在分析 PrivateLoader 下载的有效负载时，我们发现了一个我们称为 Discoloader 的新加载程序。Discoloader 是使用框架编写的，并使用 Discord 内容传播网络 (CDN) 来托管其有效负载。尽管不是直接来自 PrivateLoader，但我们观察到该家族的样本将 Conti 勒索软件直接传播到受感染的设备中，这是一种非典型的传播机制，因为该家族通常仅在企业网络完全受到威胁后才部署。