Новость дня: Глава Ростелекома заявил о невозможности подключения к 5G европейской части России

Троян PirateMatryoshka атакует пиратов





Эксперты «Лаборатории Касперского» описали схему распространения модульного дроппера PirateMatryoshka, сообщает Threatpost.

Злоумышленники размещают мошенническое ПО под видом взломанных версий различных программ и пиратского контента в раздачах на торрент-трекере The Pirate Bay.

Скачанные файлы осуществляют установку рекламного ПО на компьютер жертвы, а также пытаются похитить ее аккаунт для того, чтобы создать на трекере новые раздачи. Как отмечают специалисты «Лаборатории Касперского», киберпреступники распространяли ПО через десятки учетных записей, выдавая троян за различные утилиты и компьютерные игры.

Заражение начинается с запуска установщика PirateMatryoshka, который работает на основе пакетов Setup Factory и предназначается для расшифровки инсталлятора, открывающего фальшивую форму аутентификации The Pirate Bay. Фишинговая страница загружается прямо в окне установки и создана мошенниками для кражи аккаунтов у пользователей торрент-трекера.

Независимо от действий жертвы, после отображения веб-страницы установщик проверяет, запускается ли он в системе впервые. Для этого он ищет в системном реестре путь HKEY_CURRENT_USER\Software\dSet. Если обнаружить его не удается, инсталлятор продолжает работу и обращается к интернет-странице за ссылкой на установщик рекламного ПО и ключом его расшифровки.

Скачанный пакет (тоже Setup Factory) предназначен для расшифровки и запуска четырех исполняемых файлов с именами oyce.exe, SetupDiv.exe, coduc.exe и Xvid.exe.

Из них два файла — это загрузчики программ InstallCapital и MegaDowl. Создателям подобного ПО платят за распространение приложений партнеров и кибермошенники нередко прибегают к их услугам. Такое ПО скрытно устанавливает другой софт, а результатом его работы часто становится заражение компьютера нежелательным и вредоносным ПО.

Другие два файла — это боты-кликеры, которые запускаются перед партнерскими программами и подготовлены мошенниками для подстраховки на тот случай, если жертва откажется от установки InstallCapital и MegaDowl: боты сами повторно проставят галочки во всех полях и согласятся с установкой ненужного софта.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
12.10.2020 16:39

Военные США атаковали сеть «русских киберпреступников»

Одной из целей проведенной операции являлось ослабление потенциальной способности ботнета повлиять на предстоящие президентские выборы в США


06.10.2020 20:52

Собянин заблокировал приложение для бесплатного проезда школьников и пенсионеров

Мэр Москвы Сергей Собянин объявил о новых мерах, направленных на борьбу с распространением коронавируса в столице


30.09.2020 18:06

В Минпромторге сообщили об иностранных утюгах с прослушкой

В России обнаружены произведенные за границей утюги «с закладками», способные вести прослушку


28.09.2020 15:54

Киберпреступники ищут новые способы шантажировать пользователей

По данным ESET, каждый десятый интернет-пользователь в России стал жертвой шантажа во время самоизоляции


26.09.2020 13:34

Российское бюро Интерпола: киберпреступники переходят на аутсорсинг

Предложения об организации «коммерческих» DDoS-атак, аренде бот-сетей, продаже или аренде программных кодов вредоносного ПО регулярно появляются в Даркнете


Популярное: Безопасность
07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


06.10.2020 20:52

Собянин заблокировал приложение для бесплатного проезда школьников и пенсионеров

Мэр Москвы Сергей Собянин объявил о новых мерах, направленных на борьбу с распространением коронавируса в столице


12.10.2020 16:39

Военные США атаковали сеть «русских киберпреступников»

Одной из целей проведенной операции являлось ослабление потенциальной способности ботнета повлиять на предстоящие президентские выборы в США


28.11.2017 06:35

Как найти адрес The Hidden Wiki

The Hidden Wiki — это вики-энциклопедия со ссылками на различные ресурсы Даркнета, расположенные в псевдо-домене .onion


» Оставьте первым свой комментарий

Новости /
Безопасность /
Троян PirateMatryoshka атакует пиратов
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика