BLADABINDI - это бэкдор-угроза, предназначенная для внедрения в системы вредоносных полезных данных. Другими словами, после успешного проникновения он незаметно загружает / устанавливает вредоносное ПО в уязвимые системы. Во время исследования было замечено, что BLADABINDI распространяется вместе с установщиками Windscribe VPN. «Bundling» - это термин, используемый для описания обманчивой маркетинговой техники упаковки обычного программного обеспечения нежелательными или вредоносными дополнениями. Windscribe - это законная компания по кибербезопасности и конфиденциальности, предлагающая инструменты, ориентированные на устройства и безопасность / конфиденциальность в Интернете. Следует подчеркнуть, что бэкдор BLADABINDI, связанный с вышеупомянутым приложением VPN, не распространялся через официальные каналы (например, веб-сайт Windscribe, магазины Google или Apple); киберпреступники протолкнули модифицированные установщики через различные неофициальные и сторонние источники загрузки.

Основная функциональность бэкдора BLADABINDI вызывает цепные инфекции (т. е. загрузку/установку дополнительных вредоносных программ). Следовательно, через этот бэкдор скомпрометированная система может быть заражена троянами, вымогателями, криптомайнерами и другие вредоносные программы. Чтобы уточнить, BLADABINDI может загружать и выполнять файлы, а также обновлять их. Бэкдор также может извлекать компьютерные данные, такие как имя устройства, сведения об операционной системе (например, версия, архитектура и т. д.) и имя пользователя системной учетной записи. BLADABINDI также может обнаруживать установленные антивирусные инструменты, установленные в системе. Еще одной особенностью этого бэкдора является съемка снимков экрана (то есть скриншотов). Подводя итог, можно сказать, что инфекции BLADABINDI могут привести к широкому спектру проблем, включая (но не ограничиваясь ими): повреждение устройств/данных, финансовые потери, серьезные проблемы с конфиденциальностью и кражу личных данных. Если известно или подозревается, что BLADABINDI (или другая вредоносная программа) уже заразила систему - для ее немедленного устранения необходимо использовать антивирус.

BLADABINDI был распространен через обманчивых установщиков, замаскированных под установки Windscribe VPN. В комплекте установщик состоял из законной установки Windscribe VPN install setup, вредоносного файла, содержащего бэкдор ("lscm.exe"; имя файла может варьироваться) и приложение, работающее в качестве бегуна для вирулентного файла ("win.vbs"; может варьироваться). Поддельные установки были распространены через ненадежные источники загрузки. Вредоносное ПО и другой опасный/ненадежный контент часто распространяется через сомнительные каналы загрузки, например поддельные, неофициальные и бесплатные файлообменники, пиринговые сети обмена файлами (BitTorrent, eMule, Gnutella и т. д.) и другие сторонние загрузчики. Этот опасный контент обычно маскируется под обычные продукты или поставляется вместе с ними. Однако вредоносное программное обеспечение также распространяется с помощью незаконных инструментов активации ("взлома"), поддельных обновлений и спам-кампаний. Инструменты "взлома" могут загружать/устанавливать вредоносные программы вместо активации лицензионного продукта. Поддельные апдейтеры заражают системы, эксплуатируя недостатки устаревших продуктов и/или устанавливая вредоносные программы, а не обещанные обновленные. Спам-кампании-это массовые операции, в ходе которых мошеннические письма рассылаются тысячами. Обманчивые письма содержат ссылки на скачивание инфекционных файлов и/или файлы просто прикрепляются к электронным письмам. Эти файлы могут быть в различных форматах (например, исполняемые файлы, архивы, документы PDF и Microsoft Office, JavaScript и т. д.), И когда они выполняются, запускаются или иным образом открываются - запускается процесс заражения/цепочка (т. е. загрузка/установка вредоносного ПО).

Настоятельно рекомендуется использовать только официальные и проверенные источники загрузки. Ненадежные каналы загрузки рекомендуется не использовать, так как они обычно предлагают обманчивый и вредоносный контент. Не менее важно активировать и обновлять продукты с помощью инструментов/функций, предоставляемых настоящими разработчиками. Поскольку незаконные средства активации ("трещины") и сторонние обновители часто используются для распространения вредоносных программ. Кроме того, подозрительные и/или нерелевантные электронные письма не должны открываться, особенно любые ссылки или вложения, найденные в них, так как это может привести к высокому риску заражения системы. Для обеспечения безопасности устройства и пользователя крайне важно иметь надежный антивирусный/антишпионский пакет. Кроме того, это программное обеспечение должно постоянно обновляться, использоваться для выполнения регулярных проверок системы и удаления обнаруженных/потенциальных угроз.