На трекере The Pirate Bay специалист по информационной безопасности, которого в сети знают под ником 0xffff0800 обнаружил вредоносную программу в торрент-раздаче с фильмом «Девушка, которая попала в паутину». Помимо лжефайла с фильмом среди скачанных материалов есть документ с расширением .ink. Файл содержит Power-Shell команду. Торрент с вредоносной ПО раздавало почти 2500 человек.
После запуска файла команда автоматически срабатывала и запускала по цепочке еще ряд команд, которые в конечном итоге приводила к загрузке пэйлоада AppData. Иными словами, функциональная часть вируса связывалась с сервером инициаторов атаки, откуда получала дополнительные инструкции.
Впрочем, специалист компании FireEye Ник Карр в своем твиттере не согласился с 0xffff0800. Он отметил, что файлы с разрешением .ink достаточно часто используют для атак на пользователей пиратских ресурсов.
Так или иначе, вредоносный файл был размещен в открытом доступе, чтобы его могли изучить другие специалисты. В итоге сотрудник компании BleepingComputer Лоренс Абрамс выяснил, что программа размещает рекламу в браузере и внедряется в код поисковых систем и, например, «Википедии». Причем, помимо рекламы программа осуществляет слежение за страницами пользователя и подменяет адреса биткоин и эфир-кошельков на свои. Также в результате взлома поисковые системы по запросам выдают ресурсы и продукты хакерской группы. В случае с "Википедией", при попадании на ресурс пользователи видели баннер о том, что сервис теперь принимает пожертвования в криптовалюте и адреса кошельков. Которые, конечно, принадлежали хакерам.
Отметим, что при изучении кошельков хакерской группы на них были обнаружены относительно скромные средства, в общей сумме не превышающие 800 долларов.
Сортировка:
Сортировать