Распространяемый через торренты поддельный видеофайл подменяет результаты поиска в Google

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay.

9b328122d9f975c40ccba7e3b63d3bef.png



Распространяемое через The Pirate Bay и замаскированное под видеофайл вредоносное ПО заражает компьютеры под управлением Windows и выполняет ряд вредоносных функций. К примеру, вредонос способен внедрять подготовленный злоумышленником контент на такие популярные сайты, как Википедия, Google или Яндекс.

Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay, однако в данном случае интерес вызывает необычный способ заражения компьютеров и большое разнообразие вредоносной активности.

Все началось с того, что исследователь безопасности 0xffff0800 скачал с The Pirate Bay фильм «Девушка, которая застряла в паутине». Однако вместо видеофайла он получил файл .LNK, выполнявший команды PowerShell.

Исследователя заинтересовала иконка файла, и он пропустил его через VirusTotal. Как показало сканирование, файл представлял собой вредоносное ПО CozyBear, используемое одноименной APT-группой, также известной как APT29 и CozyDuke. Тем не менее, этот результат оказался ошибочным. По Ника Карра (Nick Carr) из FireEye Advanced Practices Team, вредоносные .LNK – частое явление в сфере интернет-пиратства.

0xffff0800 опубликовал скачанный файл .LNK, и как показал быстрый анализ Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, он представляет собой нечто большее, чем просто инжектор рекламы для страницы поиска Google. Помимо внедрения контента на множество сайтов, вредонос отслеживает страницы кошельков Bitcoin и Ethereum и заменяет их другими, принадлежащими киберпреступникам.

Чтобы проделать все вышеописанное, вредонос модифицирует ключи реестра для отключения Windows Defender. ПО также принудительно устанавливает в Firefox расширение Firefox Protection и взламывает расширение для Chrome под названием Chrome Media Router, заменяя ID на «pkedcjkdefgpdelpbcmbmeomcjbeemfm».

Сразу после запуска браузера вредоносное расширение подключается к базе данных Firebase и извлекает оттуда множество настроек, в том числе JavaScript-код для внедрения в различные web-страницы.

В страницу поисковой выдачи Google вредонос внедряет нужные злоумышленнику результаты поиска (к примеру, сайты, предлагающие подозрительное антивирусное ПО). То же самое происходит и с другими поисковиками. Например, на странице Википедии отображается поддельный баннер с просьбой оказать финансовую поддержку в виде криптовалюты.
 
Сверху Снизу