Скачанный с торрента фильм ворует биткоины
16 янв 2019 11:40 #75823
от ICT
ICT создал тему: Скачанный с торрента фильм ворует биткоины
Pirate Bay раздает «фильмы с сюрпризом внутри» Специалист по информационной безопасности под псевдонимом 0xffff0800 обнаружил на популярном торрент-трекере The Pirate Bay раздачу фильма The Girl in the Spider's Web («Девушка, которая застряла в паутине»). Вместо фильма среди скачиваемых файлов можно найти файл ярлыка Windows с расширением .lnk, который содержит инструкцию оболочки Powershell, позволяющую соединиться с сервером злоумышленника и загрузить на компьютер пользователя целый ряд вредоносных программ и скриптов. Попав в систему, вредонос манипулирует результатами поиска в интернете с целью продвижения определенных товаров и услуг, а также подменяет адреса кошельков криптовалюты на принадлежащие злоумышленнику. Как это работает? После запуска замаскированного под фильм ярлыка, с ресурса Pastebin скачивается специально подготовленный Powershell-скрипт. В результате выполнения этого скрипта в папку AppData текущего пользователя Windows загружается ряд вредоносных программ, в том числе два исполняемых файла: servicer.exe и performer.exe, которые несмотря на разные имена представляют собой одну и ту же сущность и предназначены для автоматического запуска в виде службы Windows под названием Smart Monitoring. К счастью, разработчик вредоноса совершил несколько синтаксических ошибок в участке кода, отвечающем за регистрацию программы в качестве службы, поэтому она не запускается при старте Windows.
Вредонос маскируется под видеофайл Тем не менее, злоумышленник смог реализовать отключение Windows Defender (антивирус, встроенный в операционную систему) посредством модификации реестра ОС, а также принудительную установку вредоносного расширения Firefox Protection для браузера Mozilla Firefox. Если в системе присутствует браузер Google Chrome, встроенное расширение Chrome Media Router окажется скомпрометированным. При первом же запуске одного из этих браузеров внедренные расширения получают с удаленного сервера код на языке Javascript, который в дальнейшем будет внедряться на различные веб-страницы при их посещении пользователем зараженной машины. Так, «отравленными» оказываются поисковая выдача Google и «Яндекса». К примеру, при поиске по ключевому слову spyware первые две строчки в выдаче занимает замаскированная реклама антивируса TotalAV.
Модифицированная выдача Google Помимо «Яндекса» и Google подобной модификации подвергаются страницы социальной сети «Вконтакте» и свободной энциклопедии Wikipedia. При посещении последней с зараженного компьютера пользователь увидит поддельный баннер, предлагающий пожертвовать создателям всемирно известного ресурса $15 в криптовалюте.
Фальшивый баннер с просьбой о финансовой поддержке Wikipedia Наконец, вредонос не только продвигает определенные товары и собирает фальшивые пожертвования в пользу Wikipedia, но и ведет непрерывный мониторинг посещаемых пользователем ресурсов на предмет наличия адресов криптовалютных кошельков Bitcoin и Ethereum. При попытке скопировать такой адрес в буфер обмена Windows вредонос подменяет его на принадлежащий злоумышленнику. Поскольку адреса представляют собой длинную комбинацию символов, которую сложно запомнить, пользователь может и не заметить подмену. Ажиотаж вокруг криптовалют не утихает В июле 2018 г. «Лаборатория Касперского» сообщила о предотвращении более ста тысяч попыток перехода пользователей на поддельные онлайн-кошельки и биржи криптовалют за последние полгода. Киберпреступники активно пользуются ажиотажем вокруг цифровых денег: кроме взлома криптовалютных бирж, эксплуатации уязвимостей в смарт-контрактах и использования зловредов-майнеров, мошенники прибегают и к классическим методам социальной инженерии. При этом их жертвами становятся не только старые игроки на рынке, но и те, кто только начал интересоваться этой темой. Киберпреступники создают поддельные страницы, имитирующие официальные сайты ICO-проектов, и распространяют ссылки на них через электронную почту, мессенджеры, социальные сети и рекламные объявления в крупных поисковых системах. К примеру, путем создания фишинговых страниц, имитирующих веб-сайт ICO-проекта OmaseGo, киберпреступники смогли украсть более $1,1 млн. Еще один популярный метод, применяемый кибермошенниками, – это предложение перевести определенную сумму в криптовалюте, чтобы получить обратно в несколько раз больше. Первую транзакцию требуют осуществить под предлогом верификации электронного кошелька.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Скачанный с торрента фильм ворует биткоины. Опрос | 44.13 | Среда, 16 января 2019 |
Изобретатели торрента придумали, как подружить iPhone и Android | 9.85 | Среда, 17 июня 2015 |
Троян для Android ворует деньги с карт Сбербанка | 9.06 | Четверг, 09 апреля 2015 |
Android-троян ворует пароли от банковских приложений | 9.06 | Среда, 01 марта 2017 |
Обнаружен «троян будущего». Как он ворует деньги пользователей? | 9.06 | Понедельник, 15 октября 2018 |
Мобильные вирусы: Android-троян ворует деньги с карт Сбербанка | 8.87 | Пятница, 10 апреля 2015 |
Мобильные вирусы: Android-троян ворует деньги с карт Сбербанка. Подозреваемые задержаны. | 8.68 | Понедельник, 13 апреля 2015 |
Биткоины вошли в топ-10 | 8.35 | Вторник, 09 декабря 2014 |
Роскомнадзор давит биткоины | 8.25 | Вторник, 13 января 2015 |
В Европе могут запретить биткоины | 8.16 | Пятница, 20 ноября 2015 |