Интересное кино: под видом фильма о хакерах распространяется опасный зловред

Исследователь проблем кибербезопасности под ником 0xffff0800 обнаружил опасное вредоносное ПО, маскирующееся под видеофайл. 0xffff0800 скачал с торрент-трекера The Pirate Bay (очевидно, ничто человеческое исследователям не чуждо) фильм «Девушка, которая застряла в паутине» - к слову, повествующий о хакерах. Однако вместо видеофайла на его компьютер загрузился файл с расширением .LNK.  Заинтересовавшись, 0xffff0800 проверил его через базу VirusTotal. Первоначально сервис идентифицировал файл как зловред CozyBear, используемый одноименной хакерской группировкой. Но исследователь усомнился в истинности этого вердикта и опубликовал файл в сети. Анализ, проведенный основателем ресурса Bleeping Computer Лоуренсом Эбрамсом, позволил установить, что речь идет о новом зловреде с рядом оригинальных функций.

При запуске файла происходит выполнение команды PowerShell, осуществляющей целый каскад действий. Главным результатом становится отключение Windows Defender и взлом основных браузеров – Chrome и Firefox. Зловред получает возможность внедрять JavaScript-код в отображаемые браузерами страницы. В результате на страницах поисковой выдачи Google и Yandex на первых позициях появляются ссылки на сайты, распространяющие вредоносное ПО. Также зловред внедряет на сайт Wikipedia не соответствующее действительности уведомление о том, что ресурс теперь принимает пожертвования в криптовалюте. В качестве кошельков для пожертвований указаны, естественно, номера кошельков, подконтрольных хакерам. Наконец, вредоносное ПО способно подменять номера криптовалютных кошельков в буфере обмена. И, скопировав нужный номер со страницы, пользователь рискует при осуществлении транзакции вставить все тот же номер кошелька хакеров, кому бы он ни намеревался перевести деньги.

Источник: Bleeping Computer