2019-1-16 14:19 |
На трекере The Pirate Bay специалист по информационной безопасности, которого в сети знают под ником 0xffff0800 обнаружил вредоносную программу в торрент-раздаче с фильмом «Девушка, которая попала в паутину».
Помимо лжефайла с фильмом среди скачанных материалов есть документ с расширением . ink. Файл содержит Power-Shell команду. Торрент с вредоносной ПО раздавало почти 2500 человек.
После запуска файла команда автоматически срабатывала и запускала по цепочке еще ряд команд, которые в конечном итоге приводила к загрузке пэйлоада AppData. Иными словами, функциональная часть вируса связывалась с сервером инициаторов атаки, откуда получала дополнительные инструкции.
Обнаруживший вирус специалист заметил, что далеко не все системы защиты от вредоносного ПО распознают программу. Также он предположил, что за распространением вируса может стоять хакерская группировка CozyBear, известная также под именами АРТ29, Grizzly Bear и других. Такое предположение он сделал, потому что хакеры уже использовали похожие приемы в своих атаках.
Впрочем, специалист компании FireEye Ник Карр в своем твиттере не согласился с 0xffff0800. Он отметил, что файлы с разрешением . ink достаточно часто используют для атак на пользователей пиратских ресурсов.
Так или иначе, вредоносный файл был размещен в открытом доступе, чтобы его могли изучить другие специалисты. В итоге сотрудник компании BleepingComputer Лоренс Абрамс выяснил, что программа размещает рекламу в браузере и внедряется в код поисковых систем и, например, «Википедии». Причем, помимо рекламы программа осуществляет слежение за страницами пользователя и подменяет адреса биткоин и эфир-кошельков на свои. Также в результате взлома поисковые системы по запросам выдают ресурсы и продукты хакерской группы. В случае с "Википедией", при попадании на ресурс пользователи видели баннер о том, что сервис теперь принимает пожертвования в криптовалюте и адреса кошельков. Которые, конечно, принадлежали хакерам.
Отметим, что при изучении кошельков хакерской группы на них были обнаружены относительно скромные средства, в общей сумме не превышающие 800 долларов.
.
Аналог Notcoin - Blum - Играй и зарабатывай Монеты