Следующая новость
Предыдущая новость

Малварь маскируется под фильмы на торрент-трекере и ворует криптовалюту

15.01.2019 23:42
Малварь маскируется под фильмы на торрент-трекере и ворует криптовалюту

Рекомендуем почитать:

Xakep #237. Даркнет 2018

  • Содержание выпуска
  • Подписка на «Хакер»

ИБ-специалист, известный под псевдонимом 0xffff0800, обнаружил на торрент-трекере The Pirate Bay раздачу фильма «Девушка, которая застряла в паутине», где вместо фильма пользователь скачивал подозрительный файл .LNK, содержащий PowerShell-команду. Интересно, что на момент обнаружения фальшивки «фильм» раздавали 2375 человек.

Малварь маскируется под фильмы на торрент-трекере и ворует криптовалюту

Сразу после запуска такого фальшивого фильма, исполняется команда PowerShell, которая запускает цепочку других команд, что в итоге приводит к загрузке пейлоада в %AppData%. В сущности, PowerShell связывается с управляющим сервером атакующих, откуда происходит переадресация на Pastebin, где содержатся дальнейшие инструкции.

Проверив найденный файл на VirusTotal, специалист заметил, что подозрительную активность в нем обнаруживают далеко не все защитные решения. Также исследователь предположил, что файл может быть связан с известной хак-группой CozyBear (она же APT29, CozyDuke, CozyCar, Grizzly Bear), которая уже использовала похожую технику для своих атак.

С этой теорией 0xffff0800 не согласен эксперт компании FireEye Ник Карр (Nick Carr), который отмечает, что вредоносные файлы .LNK используются очень часто, особенно для обмана пользователей «пиратских» сайтов, и занимается этим далеко не только группировка CozyBear.

Hey good find, but these are common in pirating — these are not APT29.
Here's another example from a while back: https://t.co/QxPVIb1fZz

After @felixw3000's blog post on emulating APT29 LNK files was released, many more have popped up.

— Nick Carr (@ItsReallyNick) January 11, 2019

0xffff0800 опубликовал .LNK в открытом доступе, чтобы его находку могли изучить и другие специалисты. Основатель ресурса BleepingComputer Лоренс Абрамс (Lawrence Abrams) обнаружил, что исполнение файла .LNK приводит не только к внедрению рекламы на главную страницу Google, как предполагалось изначально.

Малварь маскируется под фильмы на торрент-трекере и ворует криптовалюту
Реклама на главной странице Google

Инжекты вредоносного контента осуществляются в код и других сайтов, включая поисковую выдачу Google и Яндекс, а также статьи Wikipedia. Но малварь не только показывает жертвам рекламу, также она следит за содержимым страниц и подменяет любые обнаруженные адреса кошельков Bitcoin и Ethereum на адреса, принадлежащие атакующим.

Для этого вредонос отключает защиту Windows Defender, если та была активна. Также малварь принудительно устанавливает расширение для Firefox под названием Firefox Protection, а в случае браузера Chrome компрометирует расширение Chrome Media Router. В результате после запуска браузера вредонос связывается с базой Firebase, откуда получает различные настройки и код JavaScript, который внедряет в различные страницы.

Таким образом, поисковая выдача Google и Яндекс оказывает «отравлена». На иллюстрации ниже видно, что из-за инжектов наверху поисковой выдачи оказываются «продвигаемые» злоумышленниками сайты и продукты.

Малварь маскируется под фильмы на торрент-трекере и ворует криптовалюту
Измененная поисковая выдача

Если же жертва злоумышленников посещает Wikipedia, малварь внедряет в страницы энциклопедии фальшивый баннер о сборе пожертвований, гласящий, что теперь Wikipedia принимает криптовалюты и предлагающий адреса кошельков для перевода средств. Разумеется, эти кошельки принадлежат самим преступникам.

Малварь маскируется под фильмы на торрент-трекере и ворует криптовалюту

Интересно, что в кошельках преступников было обнаружено не так много средств. Так, один Bitcoin-кошелек содержит около 70 долларов в криптовалюте, другой около 13 долларов, а в Ethereum-кошельке нашли лишь 600 долларов.

Источник

Последние новости