Я не в коем случае не спешил с выводами, я попробовал подключиться к другим серверам на других хостингах проверить может дело в FTP клиенте, и на удивления не каких проблем там не было.
Как я писал выше, исключить заражение клиента простыми AB тестами у меня получилось способом использования интерфейса сайта TimeWeb (файловый менеджер). У меня там 10 сайтов и заходя в каждую папку с сайтом public_html файл index.php лежит не тронутым(дата редактирования) ровна дате, когда я последний раз её трогал, допустим примерно 5 мес назад. Но если я пытаюсь его открыть (файл index.php) антивирус меня останавливает и файл на хостинге не меняет размер и не становится пустым. Дата не меняется.

И следом создается файл about.php 0кб

К слову все сайты имеют разный код на index.php и файлы бекапы на моем пк спокойно открываются и нет повода предполагать, что там выполняется какой-то вредоносный код

Троян. Kryptik — это вредоносная компьютерная инфекция, известная как троянский конь. Троян. Kryptik может загружаться при запуске и создавать себя заново, что затрудняет удаление вручную с зараженного компьютера. Троян. Kryptik может поставить под угрозу зараженную систему, позволив удаленному хакеру получить доступ без разрешения или ведома пользователя. Троян. Kryptik также может привести к заражению другими неизвестными вредоносными программами-паразитами.

Видео пруфы у меня есть я все снял.

Многие сервисы Google, включая поиск Google, также либо ограничены, либо подвергаются жесткой цензуре. Однако многие пользователи пытаются обойти эти ограничения с помощью различных инструментов, таких как VPN.

Угроза использует аккаунты рекламодателей Google для создания вредоносных объявлений и направления их на страницы, где ничего не подозревающие пользователи загружают троянские программы удаленного администрирования (RAT). Такие программы дают злоумышленнику полный контроль над машиной жертвы и возможность распространять дополнительное вредоносное ПО.

Возможно, это не совпадение, что вредоносные рекламные кампании в первую очередь направлены на ограниченные или запрещенные приложения. Хотя мы не знаем истинных намерений участников угроз, одним из их мотивов может быть сбор данных и шпионаж. В этом блоге мы поделимся более подробной информацией о вредоносных объявлениях и полезных нагрузках, которые нам удалось собрать.

Вредоносные объявления

Посетители сайта google[.]cn перенаправляются на google.com[.]hk, где поиск, как утверждается, не подвергается цензуре. Набрав в поисковой строке "telegram", мы видим результат спонсированного поиска.

Вот реклама "LINE".

Мы выявили два аккаунта рекламодателей, стоящих за этими объявлениями, причем оба они были связаны с профилем пользователя в Нигерии:

Учитывая количество объявлений на каждой из этих учетных записей (включая множество не связанных с этими кампаниями), мы считаем, что они могли быть захвачены.

Инфраструктура

По всей видимости, используют инфраструктуру Google в виде Google Docs или сайтов Google. Это позволяет им вставлять ссылки для загрузки или даже перенаправлять на другие сайты, которые они контролируют.

Вредоносное ПО

Мы собрали несколько полезных нагрузок из этой кампании, все в формате MSI. Некоторые из них использовали технику, известную как побочная загрузка DLL, которая заключается в объединении легитимного приложения с вредоносной DLL, загружаемой автоматически.

В приведенном выше примере DLL подписана ныне отозванным сертификатом Sharp Brilliance Communication Technology Co., Ltd., который также недавно использовался для подписи образца PlugX RAT. (PlugX - это китайская RAT, которая также выполняет побочную загрузку DLL).

Не все найденные вредоносные программы являются новыми, некоторые из них уже использовались в других кампаниях и являются вариантами Gh0st RAT.

Активная угроза

На сайте и форуме (bbs[.]kafan[.]cn), посвященном безопасности и посещаемом китайскими пользователями, постоянно появляются вредоносные программы из этих кампаний, которые они называют FakeAPP.

Кроме того, похоже, что отдают предпочтение количеству перед качеством, постоянно продвигая новые полезные нагрузки и инфраструктуру в качестве командно-контрольной.

Онлайн-реклама - это эффективный способ привлечь определенную аудиторию, но, конечно, им тоже можно злоупотреблять. Люди (например, активисты), живущие в странах, где средства шифрованной связи запрещены или ограничены, будут пытаться обойти эти меры. Судя по всему, потенциальных жертв заманивают с помощью такой рекламы.

Полезная нагрузка соответствует угрозам, наблюдаемым в регионе Южной Азии, и мы видим схожие методы, такие как побочная загрузка DLL, которая довольно популярна среди многих RAT. Этот тип вредоносного ПО идеально подходит для сбора информации о человеке и бесшумного внедрения дополнительных компонентов, если это необходимо.

Мы уведомили Google о вредоносной рекламе и сообщили соответствующим сторонам о поддерживающей инфраструктуре.

Индикаторы компрометации

Поддельные домены:

Перенаправления:

Полезные нагрузки:

C2s

Источник: https://www.malwarebytes.com/blog/threat-intelligence/2024/0...

Собственно, помимо этого он:
1. Создает папки в "'C:\ProgramData", которые создали бы топ 10 антивирусов при установке, делает их скрытыми (ну вот прям совсем скрытыми, чуть ли не с признаком "системная") и блокирует к ним доступ достопочтенному тебе и системе. На опережение в общем действует гаденыш.
2. Эта хитрая жопа лезет в твой регистр и банит тебе там возможности рабоать с проводником, таск менеджером и прочими полезными вещами. Причем как бы не совсем банит, надо же не спалиться, а так, чуть чуть:
2.1. Установка антивирусов - пошел в жопу, этого нам тут не хватало
2.2. Зайти и удалить файл вируса - ты что, с дуба рухнул? ЗАБАНЕНО
2.3. Слишком долго шаришься по проводнику? - не ешь мои мощности для майнинга, курва.
3. Он решает, что зайти на сайты, которые помогут тебе решить проблему, скачать антивирус и так далее - это плохая затея, поэтому ограждает тебя от этих плохих действий, внося в файл HOSTS небольшие корректировки (где-то 80 штук).

Так, а делать то мы с этим че будем?

Тут все изи, по шагам, по минутам:
1. Жмякаем Win+R тыкаем по клавиатуре "msconfig.exe" ну и на Enter ткнуть не забываем
2. Вкладочка "Загрузка", галочка "Безопасный режим" и ребутнемся
Теперь мы этому говну не по зубам, он же под службу маскируется, а мы их отключили (обязательно потирать руки или гладить кота, как злодей из бондианы)
3. Опять наш любимый Win+R пальчиками набираем "regedit" жмякаем Enter
4. Смело идем в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'"
Там еще может быть папочка "DisallowRun"" - Вот оно то нам и надо, оно банит нам запуск программ (в нашем случае - антивирусов).
5. Если там много хлама - проделки вируса, удаляем их (там обычно написано, что он банит)
6. Выходим из безопасного режима (Шаг 1-2, только безопасный режим наоборот отключаем)
Финишная прямая.
7. Как нибудь через три пды колено (флешка, телефон, телеграм, да пофиг) закидываем себе на комп малюсенький дистрибутив Rkill. Эта штука при запуске ненадолго остановит уродца и поубивает его процессы.
8. Собственно, нахрена нужен предыдущий шаг? Если есть желание поиграть в самого быстрого стрелка на диком западе - можешь попробовать запустить Rkill, а потом сразу зайти и удалить приложуху с вирусом. Если нет - запускаем, качаем антивирус (я обычно докторвеба для таких вещей использую), устанавливаем, стартуем проверочку. Найдет пару измененных этой штукой файлов и починит или удалит.
9. Файлик "hosts.sys" может быть не починить. Залезаем к нему домой по адресу "C:\Windows\System32\drivers\etc", открываем в блокнотике и удаляем все строки без # первым символом. сохраняем как "hosts"", меняем расширение с ".txt" на ".sys"

Сейчас вместе думаем "Да сколько уже можно?!", но верим в лучшее, осталось чутка.

10. Заходим в "'C:\ProgramData", ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него "полный доступ" и "запрещено"
Сильно зло думаем "Скотина, как он имеет право хозяйничать на моем компе.?!"
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.

На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке

По причине закрытости в iOS не существует (и не может существовать) каких-либо стандартных средств операционной системы для выявления и удаления этой шпионской программы на заражённых смартфонах. Для этого необходимо прибегать к внешним инструментам.

Косвенным признаком присутствия Triangulation на устройстве является блокировка возможности обновления iOS. Для более точного распознавания заражения потребуется снять резервную копию устройства и проверить её специальной бесплатной утилитой (которую мы позже опубликуем на GitHub). Более подробные рекомендации изложены в технической статье на нашем блоге Securelist.

Из-за особенностей блокировки обновления iOS на заражённых устройствах нами пока не найдено действенного способа удаления шпионской программы без потери пользовательских данных. Это можно сделать только при помощи сброса зараженного iPhone до заводских настроек, установки последней версии операционной системы и всего окружения пользователя с нуля. Иначе, даже будучи удалённым из памяти устройства перезагрузкой, троянец-шпион Triangulation способен провести повторное заражение через уязвимости в устаревшей версии iOS.

Расследование шпионской операции Triangulation только начинается. Сегодня мы публикуем первые результаты анализа, но впереди ещё много работы. По ходу расследования инцидента мы будем обновлять эту страницу и подведём черту проделанной работе на международной конференции Security Analyst Summit в октябре (следите за новостями на сайте).

Мы уверены, что наша компания не была главной целью этой шпионской операции. Надеемся, что уже в ближайшие дни мы получим статистику распространения «троянского треугольника» в других странах и регионах.

Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является «чёрным ящиком», в котором годами могут скрываться шпионские программы подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создаёт для шпионских программ идеальное убежище. Иными словами, как я уже не раз говорил, у пользователей создаётся иллюзия безопасности, связанная с полной непрозрачностью системы. Что на самом деле происходит в iOS, специалистам по IT-безопасности неизвестно. Отсутствие новостей об атаках отнюдь не свидетельствует о невозможности самих атак — в чём мы только что убедились.

Хочется напомнить, что это не первый случай целевой атаки против нашей компании. Мы прекрасно понимаем, что работаем в очень агрессивном окружении и выработали соответствующие процедуры реагирования. Благодаря принятым мерам, компания работает в штатном режиме, бизнес-процессы и пользовательские данные не затронуты, угроза нейтрализована. Мы продолжаем защищать вас, как всегда.

P.S. А причём здесь триангуляция?

Для распознавания программной и аппаратной спецификации атакуемой системы Triangulation использует технологию Canvas Fingerprinting и рисует в памяти устройства жёлтый треугольник.

источник: https://e-kaspersky.livejournal.com/987692.html