Cyberzagrożenia

Fałszywy film wstrzyknie Ci złośliwą zawartość

Czas czytania: 2 min
Ściągasz torrenty? Nie tylko narażasz się organom ścigania, ale także możesz wpaść w niebezpieczną pułapkę zastawioną przez cyberprzestępców. W jaki sposób?
Według artykułu opublikowanego przez SC Media, cały spektakl rozpoczyna się od jednego pobranego filmu z witryny Torrent. Zamiast jednak pliku z rozszerzeniem wideo, ściągnięty zostaje skrót .LNK, uruchamiający po jego kliknięciu polecenie PowerShell. Potem już tylko rozpętuje się samo piekło. 

Jak jeden film może kopać kryptowaluty?

Zainfekowany zmodyfikowany plik systemu Windows, podszywający się pod film w wyszukiwarce torrentów The Pirate Bay, jest w stanie wstrzyknąć szkodliwą zawartość witrynom internetowym o wysokiej pozycji. Do tego typu stron należy, m.in.: : Wikipedia, Google, czy inne wyszukiwarki internetowe, przy okazji czyniąc z komputera koparkę kryptowalut.
Jak piszą badacze z bleepingcomputer.com – “szkodnik modyfikuje klucze rejestru systemu, aby wyłączyć ochronę Windows Defender – jeśli takowa jest włączona. Instaluje także w Firefoksie rozszerzenie o nazwie “Firefox Protection”. Przez co następuje, przejęcie przeglądarki Chrome o nazwie” Chrome Media Router” z identyfikatorem” pkedcjddefgpdelpbcmbmeomcjbeemfm”.
Po uruchomieniu przeglądarki przez użytkownika, złośliwe oprogramowanie zaczyna swoje działanie. Wstawia wyniki wyszukiwania do zapytań, fałszywe bannery, np. z prośbą o przekazanie darowizn na portalu Wikipedia i innych podobnych, oczywiście to wszystko podparte kopaniem kryptowalut. 
Szkodliwe oprogramowanie tego typu nie jest żadną nowością, jednak sposób i sama metoda infekowania komputera jest dość interesująca.

Nie jest to raczej rozrywka dla fanów kina

Cała ta “filmowa” akcja rozpoczęła się, kiedy badacz bezpieczeństwa o loginie 0xffff0800 znalazł nieprzyjemną niespodziankę w plikach do filmu The Girl in the Spider’s Web, pobranego z The Pirate Bay. Zamiast pliku wideo znalazł skrót .LNK, który wykonał polecenie PowerShell. Ikona pliku przyciągnęła jego uwagę, więc postanowił zeskanować go programem VirusTotal. 

 

źródło: www.bleepingcomputer.com

 

źródło: www.bleepingcomputer.com

 

Badacz podzielił się próbkami złośliwego oprogramowania z Lawrence Abrams z Bleeping Computer. Przeanalizowali oni plik i wykazali, że jest to fragment znanej infekcji o nazwie CozyBear –  używanej przez zaawansowaną grupę cyberprzestępców o tej samej nazwie, a także jako APT29, CozyDuke, CozyCar, Grizzly Bear. Cyber Grupa została odkryta w 2015 roku i nadal jest w pełni aktywna.

Co możesz zrobić, aby ochronić się przed złośliwym oprogramowaniem?

Jeśli zastanawiasz się, jak zachować szczególne bezpieczeństwo – odpowiedź jest prosta – nie pobieraj filmów nielegalnie. Niezależnie od tego, gdzie to robisz, zawsze wiąże się to z ryzykiem. Poza tym zawsze dobrze jest mieć zainstalowany dobry antywirus i zaporę na brzegu sieci. 

Źródło: 
SC Magazine
Bleeping Computer




Dodaj komentarz