15.05.2021

Вредоносное ПО, в фильме, загруженном через торрент, крадет ваш крипто

Планы исследователя безопасности с использованием имени пользователя в твиттере 0xffff0800 провести спокойную ночь в кино дома не оправдались, как он ожидал, поскольку после загрузки фильма с торрента, загруженного в The Pirate Bay, он нашел новый (и интересный) тип вредоносного ПО, которое почти заражает его компьютер.

0xffff0800@0xffff0800

Did I almost get infected from a new CozyBear Sample?! I was downloading a new movie that I have been waiting for awhile for a HD version.. So Today a promising looking one got uploaded today. So I went and downloaded it and scanned for malware with two engines.. Nothing came up.

12

Twitter Ads info and privacy

0xffff0800@0xffff0800

So once I downloaded and thought it looked weird due to the icon of the download AVI.. I through it in a Hex Editor, and oh.. There is some kind of powershell.. WTF? Put it through Virustotal.. and what do you know! CozyBear putting droppers in Hacker Movies Now?!

426

Фильм, загруженный экспертом, был копией фильма «Девушка в паутине» — по радио, с хакерской тематикой. Вместо того, чтобы содержать фильм, в папке был файл с названием фильма и расширением .lnk, который при открытии выполнял вредоносную команду, которая размещала рекламный инжектор в различных поисковых системах, таких как Google и Yandex (очень популярный поисковый портал в России и странах ближнего зарубежья).

После обнаружения угрозы 0xffff0800 поделился своими находками в социальных сетях и загрузил пример файла для анализа другими коллегами-исследователями. Видимо, одним из увлечений этого эксперта является «сбор» вредоносного ПО.

0xffff0800@0xffff0800

0xffff0800@0xffff0800

Picture of the sample itself, and here’s the download for the sample from it all. Password: infected. hxxps://mega.nz/#!N80XUCza!rgQMgunzj8qHHlVDCypxBXNrNYa_ZE8oDk3LatADBwg enjoy. pic.twitter.com/waE9G4iPbu

30

Twitter Ads info and privacy

Люди из Bleeping Computer более внимательно изучили архив, и их результаты оказались более удивительными. Вредоносная программа скрыла гораздо больше, чем показалось невооруженным глазом.

Вредоносная активность распространяется на другие веб-страницы, включая результаты поиска Google и Yandex, а также на записи в Википедии. Другая цель состоит в том, чтобы отслеживать веб-страницы для адресов кошелька Биткойн и Эфириума и заменять их другими, принадлежащими злоумышленнику ».

Основная цель атакующих поисковых систем состоит в том, чтобы повлиять на результаты, чтобы расположить на первых местах результатов серию веб-страниц с «внедренной» рекламой.

Тем не менее, злоумышленники не только хотели заработать на рекламе. Группа хакеров, которые программировали вредоносное ПО, также закодировали его таким образом, что, если жертва посетит Википедию, вредоносное ПО вставит кнопку поддельного пожертвования, показывающую два адреса кошелька Биткойн и Эфириум, доступные для желающих внести свой вклад в энциклопедию. Согласно Bleeping Computer, хакеры собрали в криптографии почти 700 долларов.

Использование вредоносных программ не является чем-то новым для индустрии блокчейнов. В течение последнего года использование таких инструментов получило бум для получения денег с помощью скрытого крипто-майнинга. Monero (XMR) был основным блокчейном, использованным для этой практики еще в 2017 и 2018 годах.

Spread the love

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *