Хакеры заражают файлы с фильмами и похищают биткоины

[blacktrader]

Исследователь безопасности под ником 0xffff0800 обнаружил, что файлы фильма «Девушка, которая застряла в паутине» на торрент-ресурсе The Pirate Bay были заражены вредоносным программным обеспечением.

По его словам, ПО способно осуществлять подмену адресов биткоин- и Ethereum-кошельков в момент копирования/вставки информации из буфера обмена.

«Большинство пользователей, скорее всего, не заметит различий в множестве случайных символов, которые из себя представляет адрес кошелька», — отметил исследователь.​

На момент обнаружения вредоноса файл фильма распространяли 2375 пользователей.

Как сообщает Bleeping Computer, вирус также использовался в качестве интегратора рекламы для поисковых страниц Google и отображал фейковые баннеры на страницах «Википедии», предлагая пользователям перечислить криптовалюту на указанные адреса.

Напомним, в конце ноября 2018 года специалисты Dr.Web обнаружили новый троян Linux.BtcMine.174, который удаляет антивирусные программы для дальнейшего майнинга Monero.

 

[blacktrader]

Техническая мысль хакеров не знает рамок — исследователи выявили новый вирус, атакующий компьютеры с ОС Windows сразу с нескольких направлений. Пытаясь запустить фильм (в данном случае — «Девушка, которая застряла в паутине»), скачанный с торрента, пользователь активирует вирус, подменяющий рекламные баннеры, фильтрующий выдачу поисковиков, выпрашивающий пожертвования в биткоинах от имени Википедии и, наконец, банально ворующий крипту.

Сюрприз выявлен в числе файлов, скачанных с The Pirate Bay — вирус маскировался под файл фильма о девушке-хакере, что добавляет иронии ситуации.

Выявивший угрозу исследователь обратил внимание на нетипичную иконку предположительно видеофайла, скачанного им с торрента, и решил приглядеться к нему повнимательнее. Запуск файла, представляющего собой ярлык .LNK, активировал бы команду PowerShell, запускавшую целый сценарий.

Проверка антивирусом идентифицировала файл как носитель вируса авторства хакерской группы CozyBear, довольно давно известного и относительно безопасного. Однако модификация главной страницы Google путем добавления к ней дополнительных баннеров оказалась только верхушкой айсберга.

Запущенный вирус подменяет результаты поисковой выдачи в Google и Яндекс, продвигая по запросу «антивирус» на первые позиции указанные хакером программы, в частности TotalAV. По другим запросам на первые места выдвигаются страницы соцсети Вконтакте, связанные с торрентами и криптовалютами, но на этом сюрпризы не заканчиваются.

При заходе на Википедию, например, пользователю подсовывается баннер с сообщением о том, что бесплатная энциклопедия принимает пожертвования в криптовалюте, что позволит ей и дальше оставаться бесплатной. Указанные адреса для пожертвований в биткоине и эфире, естественно, никакой связи с Википедией не имеют.

Однако эти адреса прямо связаны с неизвестными лицами, потрудившимися над вирусом. При совершении транзакций в криптовалюте скрипт осуществляет подмену скопированного в буфер адреса кошелька, на который пользователь собирается отправить определенную сумму в биткоине или эфире, на один из своих адресов.

Как отмечает издание Bleeping Computer, ни факт скачивания зараженных файлов с торрентов, ни методы, используемые злоумышленниками, не являются революционно новыми. Обращает на себя внимание скорее комплексность подхода — запуск одного файла активирует сразу несколько атак, и теоретически хакеры могут использовать какие угодно комбинации, если сочтут этот метод достаточно перспективным.