На торрент-трекері The Pirate Bay виявлено шкідливе програмне забезпечення

[epidemia]

Завантаження фільмів з відомого торрент-трекера The Pirate Bay потенційно може завдати користувачам шкоди через ймовірність крадіжки криптовалют і фішингу в беспрецедентному масштабі.

Дослідник безпеки під нікнеймом 0xffff0800 першим забив сигнал тривоги 11 січня, коли він детально описав свій досвід завантаження фільму “Дівчина у павутинні” (The Girl In The Spider's Web) з трекера, під час якого він зіткнувся з файлом з розширенням.LNK, який містив шкідливе програмне забезпечення CozyBear, а також ряд команд powershell.







Шкідливе програмне забезпечення було запрограмоване для виконання ряду шкідливих дій на комп'ютері користувача, включаючи відключення Windows Defender і встановлення вірусних розширень у браузерах Firefox і Chrome. При цьому воно може редагувати зовнішній вигляд веб-сторінок на комп'ютері користувача і здійснювати складні фішингові атаки. На відміну від спуфінгу, який використовує фальшиві веб-сайти, створені так, щоб вони нагадували надійні, цей метод атаки особливо підступний, оскільки він встановлює код на довірені веб-сайти і, таким чином, не може бути виявлений шляхом уважного вивчення URL-адреси, як це звичайно відбувається зі спуфінговими атаками.

Хоча зловмисне програмне забезпечення CozyBear все ще іноді використовується для атаки систем Windows, в даному випадку це є відволікаючим маневром. Ярлик .LNK запускає ряд команд Powershell, які закінчуються завантаженням зловмисного ПЗ в систему користувача. З цього моменту воно приступає до відключення антивірусних програм і встановлення шкідливого коду в Firefox і Chrome.



Коли користувачі відкривають один з цих браузерів, встановлені вірусні розширення вводять різні веб-сторінки з модифікованими версіями коду JavaScript, що дозволяє запускати й редагувати веб-сторінки і розгортати рекламні оголошення серед іншого.

Шкідливе програмне забезпечення може впровадити рекламу на будь-яку веб-сторінку, використовуючи розширення. Шкідливе ПЗ відстежує веб-пошуки та досягає модифікації веб-результатів. Оголошення, які надають перевагу хакеру, виявляються набагато вищими за рейтингом у пошуку, ніж вони могли бути за звичайних обставин і непопулярні продукти часто випадають першими ніж відомі продукти. Приклад цього видно нижче.



Відносно невідомий антивірусний пакет посідає перше місце в пошуках Google перед більш відомими конкурентами.

Найбільш тривожить його здатність редагувати зовнішній вигляд веб-сторінок і змінювати інформацію без відома користувача, що дозволяє викрасти криптовалюти. Наприклад, якщо користувач відкриє домашню сторінку Вікіпедії у скомпрометованій системі, він, швидше за все, побачить переконливе повідомлення, створене шкідливим програмним забезпеченням: “Вікіпедія тепер приймає пожертвування у вигляді біткойна” і знак “зробити пожертву”. Будь-які кошти будуть відправлені тоді хакеру.



Шкідливе програмне забезпечення також має можливість замінити адреси криптовалютних гаманців, представлені на веб-сторінках, які приймають платежі за допомогою біткойна з адресами шахраїв, так що всі платежі з інфікованих систем надходять на гаманець хакера.

Зростання цієї загрози підкреслює ризики, пов'язані з отриманням мультимедійних файлів через завантаження торрентів. Незважаючи на те, що торрент-користувачі вже знайомі з декількома існуючими загрозами безпеки, тут слід гарно подумати, чи варто заради розваги ставити себе під загрозу або бути дуже обережним.

http://coinews.io/ua/category/1-kripto/article/3733-na-torrent-treker%D1%96-the-pirate-bay-viyavleno-shk%D1%96dlive-programne-zabezpechennya,-nac%D1%96lene-na-krad%D1%96zhki-kriptovaljut