Скачанный с торрента фильм ворует биткоины
16 янв 2019 11:40 #75823
от ICT
ICT создал тему: Скачанный с торрента фильм ворует биткоины
Pirate Bay раздает «фильмы с сюрпризом внутри» Специалист по информационной безопасности под псевдонимом 0xffff0800 обнаружил на популярном торрент-трекере The Pirate Bay раздачу фильма The Girl in the Spider's Web («Девушка, которая застряла в паутине»). Вместо фильма среди скачиваемых файлов можно найти файл ярлыка Windows с расширением .lnk, который содержит инструкцию оболочки Powershell, позволяющую соединиться с сервером злоумышленника и загрузить на компьютер пользователя целый ряд вредоносных программ и скриптов. Попав в систему, вредонос манипулирует результатами поиска в интернете с целью продвижения определенных товаров и услуг, а также подменяет адреса кошельков криптовалюты на принадлежащие злоумышленнику. Как это работает? После запуска замаскированного под фильм ярлыка, с ресурса Pastebin скачивается специально подготовленный Powershell-скрипт. В результате выполнения этого скрипта в папку AppData текущего пользователя Windows загружается ряд вредоносных программ, в том числе два исполняемых файла: servicer.exe и performer.exe, которые несмотря на разные имена представляют собой одну и ту же сущность и предназначены для автоматического запуска в виде службы Windows под названием Smart Monitoring. К счастью, разработчик вредоноса совершил несколько синтаксических ошибок в участке кода, отвечающем за регистрацию программы в качестве службы, поэтому она не запускается при старте Windows.
Вредонос маскируется под видеофайл Тем не менее, злоумышленник смог реализовать отключение Windows Defender (антивирус, встроенный в операционную систему) посредством модификации реестра ОС, а также принудительную установку вредоносного расширения Firefox Protection для браузера Mozilla Firefox. Если в системе присутствует браузер Google Chrome, встроенное расширение Chrome Media Router окажется скомпрометированным. При первом же запуске одного из этих браузеров внедренные расширения получают с удаленного сервера код на языке Javascript, который в дальнейшем будет внедряться на различные веб-страницы при их посещении пользователем зараженной машины. Так, «отравленными» оказываются поисковая выдача Google и «Яндекса». К примеру, при поиске по ключевому слову spyware первые две строчки в выдаче занимает замаскированная реклама антивируса TotalAV.
Модифицированная выдача Google Помимо «Яндекса» и Google подобной модификации подвергаются страницы социальной сети «Вконтакте» и свободной энциклопедии Wikipedia. При посещении последней с зараженного компьютера пользователь увидит поддельный баннер, предлагающий пожертвовать создателям всемирно известного ресурса $15 в криптовалюте.
Фальшивый баннер с просьбой о финансовой поддержке Wikipedia Наконец, вредонос не только продвигает определенные товары и собирает фальшивые пожертвования в пользу Wikipedia, но и ведет непрерывный мониторинг посещаемых пользователем ресурсов на предмет наличия адресов криптовалютных кошельков Bitcoin и Ethereum. При попытке скопировать такой адрес в буфер обмена Windows вредонос подменяет его на принадлежащий злоумышленнику. Поскольку адреса представляют собой длинную комбинацию символов, которую сложно запомнить, пользователь может и не заметить подмену. Ажиотаж вокруг криптовалют не утихает В июле 2018 г. «Лаборатория Касперского» сообщила о предотвращении более ста тысяч попыток перехода пользователей на поддельные онлайн-кошельки и биржи криптовалют за последние полгода. Киберпреступники активно пользуются ажиотажем вокруг цифровых денег: кроме взлома криптовалютных бирж, эксплуатации уязвимостей в смарт-контрактах и использования зловредов-майнеров, мошенники прибегают и к классическим методам социальной инженерии. При этом их жертвами становятся не только старые игроки на рынке, но и те, кто только начал интересоваться этой темой. Киберпреступники создают поддельные страницы, имитирующие официальные сайты ICO-проектов, и распространяют ссылки на них через электронную почту, мессенджеры, социальные сети и рекламные объявления в крупных поисковых системах. К примеру, путем создания фишинговых страниц, имитирующих веб-сайт ICO-проекта OmaseGo, киберпреступники смогли украсть более $1,1 млн. Еще один популярный метод, применяемый кибермошенниками, – это предложение перевести определенную сумму в криптовалюте, чтобы получить обратно в несколько раз больше. Первую транзакцию требуют осуществить под предлогом верификации электронного кошелька.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.