Вредоносный ярлык маскируется под пиратские копии популярных фильмов





Независимый ИБ-эксперт 0xffff0800 обнаружил LNK-вредонос, который распространяется через пиратские сайты под видом популярных фильмов, сообщает Threatpost. Опасный ярлык умеет демонстрировать нежелательную рекламу, продвигать сомнительное ПО и красть криптовалюту.

Исследователь обнаружил вредонос на сайте The Pirate Bay, когда решил скачать фильм «Девушка, которая застряла в паутине». У выбранной им раздачи было свыше 2,3 тыс. сидов. К удивлению пользователя, после загрузки он увидел не мультимедийный файл, а LNK-ярлык. Проверка онлайн-сканером VirusTotal показала, что в нем содержится вредоносный код.

Технически LNK-эксплойты — это обычные ярлыки Windows, где вместо пути к целевому объекту прописаны команды PowerShell. Разработчики Microsoft предусмотрели эту функцию, чтобы пользователь мог открыть файл, программу или папку с предустановленными опциями. Злоумышленники могут таким образом доставить и исполнить на компьютере практически любой вредоносный код.

Новый вредонос можно отнести к рекламному ПО, однако его функции не ограничиваются показом нежелательных баннеров. Как выяснили эксперты BleepingComputer, троян умеет подменять поисковую выдачу Google и Yandex, встраивать текстовые модули на страницы Wikipedia и менять адреса BTC-кошельков, где бы он их ни обнаружил.

Открытие зловредного ярлыка запускает цепочку команд, которая приводит к скачиванию полезной нагрузки в папку %AppData%. Троян также пытается закрепиться на компьютере, добавляя себя под названием Smart Monitoring в список служб, однако терпит неудачу, поскольку злоумышленники допустили в соответствующей команде синтаксическую ошибку.

Скрипт вносит изменения в реестр Windows, отключая встроенный в систему антивирус, и устанавливает зловредные расширения в Firefox и Chrome. После этого при каждом открытии браузера вредонос связывается с удаленной базой данных и скачивает оттуда JavaScript-код, который внедряет в интернет-страницы.

В результате пользователь начинает видеть баннеры на главной странице Google, а в поисковой выдаче по ИБ-запросам появляются ссылки на малоизвестный антивирусный продукт. По словам экспертов, вредоносный скрипт также продвигает торрент-трекеры и криптовалютные ресурсы через социальную сеть «ВКонтакте».

Описанная атака не работает, если пользователь сам не открывает LNK-файл. Таким образом, чтобы защититься от нее, достаточно внимательно следить за свойствами скачанных файлов.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
12.07.2020 16:31

Заклеиваете камеру, чтобы защититься от хакеров? Apple советует этого не делать

Роскачество и Минкомсвязи призывают пользователей заклеивать камеры и микрофоны на ноутбуках, чтобы защититься от хакеров, однако компания Apple рекомендует этого не делать

11.07.2020 15:30

Трамп признал, что одобрил кибератаку против российской «фабрики троллей»

Президент США Дональд Трамп подтвердил, что он санкционировал кибератаку против российского «Агентства интернет-исследований», которое различных в СМИ часто называют «фабрикой троллей»

08.07.2020 17:16

Грефу назвали причины неизбежного введения цифрового ID

Бывший премьер-министр Великобритании Тони Блэр рассказал главе Сбербанка Герману Грефу, почему пандемия ускорит внедрение цифрового ID в различных странах

08.07.2020 14:57

Эксперты рассказали, какие пароли проще всего взломать

Эксперты по информационной безопасности рассказали, какие пароли не стоит использовать, поскольку их могут легко взломать с использованием методов социальной инженерии

08.07.2020 14:10

Власти Москвы прокомментировали сообщения о продаже доступа к городским видеокамерам

В Даркнете продают доступ ко всем видеокамерам сети наблюдения Москвы, которые установлены в подъездах столичных домов, парках, поликлиниках и школах

Популярное: Безопасность
12.07.2020 16:31

Заклеиваете камеру, чтобы защититься от хакеров? Apple советует этого не делать

Роскачество и Минкомсвязи призывают пользователей заклеивать камеры и микрофоны на ноутбуках, чтобы защититься от хакеров, однако компания Apple рекомендует этого не делать

07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть

29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить

11.07.2020 15:30

Трамп признал, что одобрил кибератаку против российской «фабрики троллей»

Президент США Дональд Трамп подтвердил, что он санкционировал кибератаку против российского «Агентства интернет-исследований», которое различных в СМИ часто называют «фабрикой троллей»

08.07.2020 17:16

Грефу назвали причины неизбежного введения цифрового ID

Бывший премьер-министр Великобритании Тони Блэр рассказал главе Сбербанка Герману Грефу, почему пандемия ускорит внедрение цифрового ID в различных странах

» Оставьте первым свой комментарий

Новости /
Безопасность /
Вредоносный ярлык маскируется под пиратские копии популярных фильмов
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика