На торрент-трекере The Pirate Bay обнаружено вредоносное программное обеспечение, нацеленное на кражу криптовалют

Загрузка фильмов из известного торрент-трекера The Pirate Bay потенциально может нанести пользователям вред из-за вероятности кражи криптовалют и фишинга в беспрецедентном масштабе.

Исследователь безопасности с никнеймом 0xffff0800 первым забил сигнал тревоги 11 января, когда он подробно описал свой опыт загрузки фильма "Девушка в паутине" (The Girl In The Spider's Web) из трекера, во время которого он столкнулся с файлом с расширением.LNK, содержащим вредоносное программное обеспечение CozyBear, а также рядом команд powershell.

Вредоносное программное обеспечение было запрограммировано для выполнения ряда вредных воздействий на компьютере пользователя, включая отключение Windows Defender и установления вирусных расширений в браузерах Firefox и Chrome. При этом оно может редактировать внешний вид веб-страниц на компьютере пользователя и осуществлять сложные фишинговые атаки. В отличие от спуфинга, который использует фальшивые веб-сайты, созданные так, чтобы они напоминали надежные, этот метод атаки особенно коварен, поскольку он устанавливает код на доверенные сайты и, таким образом, не может быть обнаружен путем внимательного изучения URL-адреса, как это обычно происходит со спуфинговыми атаками.

Хотя вредонос CozyBear все еще иногда используется для атаки систем Windows, в данном случае это всего лишь отвлекающий маневр. Ярлык.LNK запускает ряд команд Powershell, которые заканчиваются загрузкой вредоносного ПО в систему пользователя. С этого момента оно приступает к отключению антивирусных программ и установке вредоносного кода в Firefox и Chrome.

Источник - Bleeping Computer

Когда пользователи открывают один из этих браузеров, установленные вирусные расширения вводят различные веб-страницы с модифицированными версиями кода JavaScript, что позволяет запускать и редактировать веб-страницы и разворачивать рекламные объявления среди прочего.

Источник - Bleeping Computer

Вредоносное программное обеспечение может ввести рекламу на любую веб-страницу, используя расширение. Вредоносное ПО отслеживает веб-поиски и достигает модификации веб-результатов. Объявления, которые предпочитает хакер, оказываются гораздо выше за рейтингом в поиске, чем они могли быть при обычных обстоятельствах и непопулярные продукты часто выпадают первыми вместо известных продуктов. Пример этого видно ниже.

Источник - Bleeping Computer

Относительно неизвестный антивирусный пакет занимает первое место в поисках Google перед более известными конкурентами.

Что наиболее тревожно - это его способность редактировать внешний вид веб-страниц и изменять информацию без ведома пользователя, что позволяет похитить криптовалюты. Например, если пользователь откроет главную страницу Википедии в скомпрометированной системе, он, скорее всего, увидит убедительное сообщение, созданное вредоносным программным обеспечением: "Википедия теперь принимает пожертвования в виде биткоина" и знак "сделать пожертвование". Любые средства будут отправлены тогда хакеру.

Источник - Bleeping Computer

Вредоносное программное обеспечение также имеет возможность заменить адреса криптовалютних кошельков, представленные на веб-страницах, которые принимают платежи с помощью биткоина с адресами мошенников, так что все платежи из инфицированных систем поступают на кошелек хакера.

Рост этой угрозы подчеркивает риски, связанные с получением мультимедийных файлов через загрузку торрентов. Несмотря на то, что торрент-пользователи уже знакомы с несколькими существующими угрозами безопасности, здесь следует хорошо подумать, стоит ли ради развлечения ставить себя под угрозу или быть очень осторожным.