Распространяемый через торренты поддельный видеофайл подменяет результаты поиска в Google

Угрозы нулевого дня, вспышки эпидемий и всё, что ещё не изучено.
Ответить
Аватара пользователя
HADD-NEELS
Сообщения: 22782
Зарегистрирован: 12 окт 2016, 18:17

Распространяемый через торренты поддельный видеофайл подменяет результаты поиска в Google

Сообщение HADD-NEELS »

Распространяемый через торренты поддельный видеофайл подменяет результаты поиска в Google

Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay.

Распространяемое через The Pirate Bay и замаскированное под видеофайл вредоносное ПО заражает компьютеры под управлением Windows и выполняет ряд вредоносных функций. К примеру, вредонос способен внедрять подготовленный злоумышленником контент на такие популярные сайты, как Википедия, Google или Яндекс.

Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay, однако в данном случае интерес вызывает необычный способ заражения компьютеров и большое разнообразие вредоносной активности.
Все началось с того, что исследователь безопасности 0xffff0800 скачал с The Pirate Bay фильм «Девушка, которая застряла в паутине». Однако вместо видеофайла он получил файл .LNK, выполнявший команды PowerShell.

Исследователя заинтересовала иконка файла, и он пропустил его через VirusTotal. Как показало сканирование, файл представлял собой вредоносное ПО CozyBear, используемое одноименной APT-группой, также известной как APT29 и CozyDuke. Тем не менее, этот результат оказался ошибочным. По словам Ника Карра (Nick Carr) из FireEye Advanced Practices Team, вредоносные .LNK – частое явление в сфере интернет-пиратства.

[ATTACH=full]3582[/ATTACH]

0xffff0800 опубликовал скачанный файл .LNK, и как показал быстрый анализ Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, он представляет собой нечто большее, чем просто инжектор рекламы для страницы поиска Google. Помимо внедрения контента на множество сайтов, вредонос отслеживает страницы кошельков Bitcoin и Ethereum и заменяет их другими, принадлежащими киберпреступникам.

Чтобы проделать все вышеописанное, вредонос модифицирует ключи реестра для отключения Windows Defender. ПО также принудительно устанавливает в Firefox расширение Firefox Protection и взламывает расширение для Chrome под названием Chrome Media Router, заменяя ID на «pkedcjkdefgpdelpbcmbmeomcjbeemfm».

Сразу после запуска браузера вредоносное расширение подключается к базе данных Firebase и извлекает оттуда множество настроек, в том числе JavaScript-код для внедрения в различные web-страницы.

В страницу поисковой выдачи Google вредонос внедряет нужные злоумышленнику результаты поиска (к примеру, сайты, предлагающие подозрительное антивирусное ПО). То же самое происходит и с другими поисковиками. Например, на странице Википедии отображается поддельный баннер с просьбой оказать финансовую поддержку в виде криптовалюты.

Источник
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Me
Сообщения: 1278
Зарегистрирован: 08 июн 2018, 04:37

Сообщение Me »

[QUOTE="HADD-NEELS, post: 51497, member: 2367"]0xffff0800[/QUOTE]
Значит, у меня ник 1ghhh254877
Аватара пользователя
HADD-NEELS
Сообщения: 22782
Зарегистрирован: 12 окт 2016, 18:17

Сообщение HADD-NEELS »

[QUOTE="Me, post: 51509, member: 6085"]Значит, у меня ник 1ghhh254877[/QUOTE]
Эммм? О чём речь?
Аватара пользователя
x-sis
Сообщения: 10358
Зарегистрирован: 26 фев 2014, 19:10
Откуда: Россия

Сообщение x-sis »

[QUOTE="HADD-NEELS, post: 51497, member: 2367"]Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay.[/QUOTE]
А это себе должен отдавать отчет каждый любитель пиратских ресурсов. Там только выборочно и на свой собственный риск, так что это сугубо проблемы невнимательных пострадавших.

[QUOTE="HADD-NEELS, post: 51513, member: 2367"]Эммм? О чём речь?[/QUOTE]
Похоже, какая-то мистическая система счисления или кодирования символов.:facepalm:
Аватара пользователя
x-sis
Сообщения: 10358
Зарегистрирован: 26 фев 2014, 19:10
Откуда: Россия

Сообщение x-sis »

[QUOTE="HADD-NEELS, post: 51497, member: 2367"]вредоносные .LNK[/QUOTE]
Встречаю в последние месяцы обилие LNK-эксплоитов (активны в последние полгода). По неосторожности можно легко заразиться с простого ярлыка. Другое дело, что ярлыку вне конкретного компьютера взяться неоткуда, поскольку он содержит в себе жесткую привязку к путям конкретной системы, поэтому лучшее решение прежде, чем тыкать мышкой по ярлыку — сначала понять, откуда он вообще взялся и создавался ли он на этом компьютере.
Аватара пользователя
HADD-NEELS
Сообщения: 22782
Зарегистрирован: 12 окт 2016, 18:17

Сообщение HADD-NEELS »

[QUOTE="x-sis, post: 51564, member: 1"]Похоже, какая-то мистическая система счисления или кодирования символов.[/QUOTE]
Это зачёт! :lol::+1:
Аватара пользователя
x-sis
Сообщения: 10358
Зарегистрирован: 26 фев 2014, 19:10
Откуда: Россия

Сообщение x-sis »

[QUOTE="x-sis, post: 51566, member: 1"]откуда он вообще взялся и создавался ли он на этом компьютере[/QUOTE]
Причем, как правило, именно "засланные" поддельные ярлыки со сторонних источников, представляющие собой LNK-эксплоиты, не имеют какой-либо иконки (а просто белую картинку, что стоит по умолчанию у ярлыка, для которого ОС не может найти путь к исходной иконке). Это ещё один признак, способный помочь вовремя распознать западню.
Аватара пользователя
Me
Сообщения: 1278
Зарегистрирован: 08 июн 2018, 04:37

Сообщение Me »

[QUOTE="x-sis, post: 51564, member: 1"]Похоже, какая-то мистическая система счисления или кодирования символов.[/QUOTE]
)))
[QUOTE="x-sis, post: 51566, member: 1"]Встречаю в последние месяцы обилие LNK-эксплоитов (активны в последние полгода).[/QUOTE]
Ни разу не встречал таких файлов с таким расширением. Странно.
Аватара пользователя
x-sis
Сообщения: 10358
Зарегистрирован: 26 фев 2014, 19:10
Откуда: Россия

Сообщение x-sis »

[QUOTE="Me, post: 51585, member: 6085"]Ни разу не встречал таких файлов с таким расширением. Странно.[/QUOTE]
На рабочем столе у тебя их полным полно прямо под носом.:) Ибо ярлык — это файл с расширением .lnk.
Аватара пользователя
Me
Сообщения: 1278
Зарегистрирован: 08 июн 2018, 04:37

Сообщение Me »

[QUOTE="x-sis, post: 51591, member: 1"]На рабочем столе у тебя их полным полно прямо под носом.:) Ибо ярлык — это файл с расширением .lnk.[/QUOTE]
Теперь понятно :)
Ответить

Вернуться в «Новости угроз безопасности»