Исследователь проблем кибербезопасности под ником 0xffff0800 обнаружил опасное вредоносное ПО, маскирующееся под видеофайл. 0xffff0800 скачал с торрент-трекера The Pirate Bay (очевидно, ничто человеческое исследователям не чуждо) фильм «Девушка, которая застряла в паутине» - к слову, повествующий о хакерах. Однако вместо видеофайла на его компьютер загрузился файл с расширением .LNK. Заинтересовавшись, 0xffff0800 проверил его через базу VirusTotal. Первоначально сервис идентифицировал файл как зловред CozyBear, используемый одноименной хакерской группировкой. Но исследователь усомнился в истинности этого вердикта и опубликовал файл в сети. Анализ, проведенный основателем ресурса Bleeping Computer Лоуренсом Эбрамсом, позволил установить, что речь идет о новом зловреде с рядом оригинальных функций.
При запуске файла происходит выполнение команды PowerShell, осуществляющей целый каскад действий. Главным результатом становится отключение Windows Defender и взлом основных браузеров – Chrome и Firefox. Зловред получает возможность внедрять JavaScript-код в отображаемые браузерами страницы. В результате на страницах поисковой выдачи Google и Yandex на первых позициях появляются ссылки на сайты, распространяющие вредоносное ПО. Также зловред внедряет на сайт Wikipedia не соответствующее действительности уведомление о том, что ресурс теперь принимает пожертвования в криптовалюте. В качестве кошельков для пожертвований указаны, естественно, номера кошельков, подконтрольных хакерам. Наконец, вредоносное ПО способно подменять номера криптовалютных кошельков в буфере обмена. И, скопировав нужный номер со страницы, пользователь рискует при осуществлении транзакции вставить все тот же номер кошелька хакеров, кому бы он ни намеревался перевести деньги.
Источник: Bleeping Computer
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-29-69 info@tcinet.ru
+7 495 730-29-70
