Вредоносный ярлык маскируется под пиратские копии популярных фильмов




Независимый ИБ-эксперт 0xffff0800 обнаружил LNK-вредонос, который распространяется через пиратские сайты под видом популярных фильмов, сообщает Threatpost. Опасный ярлык умеет демонстрировать нежелательную рекламу, продвигать сомнительное ПО и красть криптовалюту.

Исследователь обнаружил вредонос на сайте The Pirate Bay, когда решил скачать фильм «Девушка, которая застряла в паутине». У выбранной им раздачи было свыше 2,3 тыс. сидов. К удивлению пользователя, после загрузки он увидел не мультимедийный файл, а LNK-ярлык. Проверка онлайн-сканером VirusTotal показала, что в нем содержится вредоносный код.

Технически LNK-эксплойты — это обычные ярлыки Windows, где вместо пути к целевому объекту прописаны команды PowerShell. Разработчики Microsoft предусмотрели эту функцию, чтобы пользователь мог открыть файл, программу или папку с предустановленными опциями. Злоумышленники могут таким образом доставить и исполнить на компьютере практически любой вредоносный код.

Новый вредонос можно отнести к рекламному ПО, однако его функции не ограничиваются показом нежелательных баннеров. Как выяснили эксперты BleepingComputer, троян умеет подменять поисковую выдачу Google и Yandex, встраивать текстовые модули на страницы Wikipedia и менять адреса BTC-кошельков, где бы он их ни обнаружил.

Открытие зловредного ярлыка запускает цепочку команд, которая приводит к скачиванию полезной нагрузки в папку %AppData%. Троян также пытается закрепиться на компьютере, добавляя себя под названием Smart Monitoring в список служб, однако терпит неудачу, поскольку злоумышленники допустили в соответствующей команде синтаксическую ошибку.

Скрипт вносит изменения в реестр Windows, отключая встроенный в систему антивирус, и устанавливает зловредные расширения в Firefox и Chrome. После этого при каждом открытии браузера вредонос связывается с удаленной базой данных и скачивает оттуда JavaScript-код, который внедряет в интернет-страницы.

В результате пользователь начинает видеть баннеры на главной странице Google, а в поисковой выдаче по ИБ-запросам появляются ссылки на малоизвестный антивирусный продукт. По словам экспертов, вредоносный скрипт также продвигает торрент-трекеры и криптовалютные ресурсы через социальную сеть «ВКонтакте».

Описанная атака не работает, если пользователь сам не открывает LNK-файл. Таким образом, чтобы защититься от нее, достаточно внимательно следить за свойствами скачанных файлов.

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > Вредоносный ярлык маскируется под пиратские копии популярных фильмов
Все рубрики статей:
Топ-сегодня: Безопасность
Киберпреступники превратили TeamViewer в продвинутого шпиона
Эксперты обнаружили серию кибератак, целью которых являлись госслужащие сразу нескольких стран
Чем Google Chrome хуже, чем Firefox — объясняет «Лаборатория Касперского»
Самый популярный браузер Google Chrome собирает самые разные данные о вас, однако не все известные браузеры придерживаются той же политики
В Сети появился конструктор вымогательского ПО
По словам экспертов, создатели сайта сделали ставку на удобство и скорость работы
Mail.Ru заподозрили в хранении удаленных писем
"Необходимо одно из двух: ломать не конкретную почту, а непосредственно сервер мейл.ру; приобрести необходимый архив у товарищей, имеющих доступ к системе СОРМ"
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
Новые статьи: Безопасность
Киберпреступники превратили TeamViewer в продвинутого шпиона
Эксперты обнаружили серию кибератак, целью которых являлись госслужащие сразу нескольких стран
Чем Google Chrome хуже, чем Firefox — объясняет «Лаборатория Касперского»
Самый популярный браузер Google Chrome собирает самые разные данные о вас, однако не все известные браузеры придерживаются той же политики
В Сети появился конструктор вымогательского ПО
По словам экспертов, создатели сайта сделали ставку на удобство и скорость работы
ЦРУ узнало о финансировании Huawei китайской разведкой
США поделились отчетом ЦРУ по Huawei со своими союзниками по разведальянсу Five Eyes
Угонщики украли 100 машин через каршеринг-приложение Car2Go
Злоумышленники таким образом угнали 100 автомобилей Mercedes-Benz, часть из которых позже использовалась при совершении других преступлений

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».