Фальшивое обновление действительно обновляет Adobe Flash Player

Исследователи Palo Alto Networks сообщили о весьма необычной вредоносной кампании. Неизвестные киберпреступники распространяют майнер криптовалюты под видом обновления Adobe Flash Player. В самом этом факте, разумеется, ничего необычного нет: Flash Player давно уже стал излюбленной «мишенью» хакеров, и случаи распространения зловредов под видом его обновлений тоже совсем не редкость. Уникальность ситуации состоит в том, что нынешние фальшивые обновления действительно обновляют программу до ее актуальной версии.

Идею нельзя не признать чрезвычайно остроумной. Процесс установки «обновления» сопровождается появлением всплывающих окон – в точности таких же, которые появляются при загрузке ПО с официального сайта Adobe. А тот факт, что в результате на компьютер устанавливается действительно последняя версия Flash Player, должен развеять все сомнения пользователя. Однако повод усомниться в подлинности обновления все же есть: фальшивый установщик, разумеется, не имеет цифровой подписи Adobe. И при его запуске ОС Windows выводит предупреждение о том, что пользователь собирается запустить программу неизвестного издателя. К сожалению, практика показывает, что очень многие пользователи просто не обращают на это всплывающее окно никакого внимания.

В результате вместе с новой версией Flash Player на компьютер загружается майнер криптовалюты XMRig. Вскоре после установки он начинает генерировать трафик, используя TCP-порт 14444 для майнинга криптовалюты Monero. Процесс может задействовать львиную долю мощностей центрального процессора инфицированного устройства. В настоящий момент неизвестно, с каких именно ресурсов распространяется фальшивое обновление. Исследователи призывают пользователей проявить осторожность и загружать обновления Flash Player только с официального сайта корпорации Adobe.