"Матрёшка"

Подписчиков: 0     Сообщений: 1     Рейтинг постов: 18.9

"Матрёшка" вирусы thepiratebay 

«Матрёшка» — новый вирус атаковал пользователей ThePirateBay

Cfje Prate JÖap,"Матрёшка",вирусы,thepiratebay

Эксперты «Лаборатории Касперского» обнаружили интересную вредоносную кампанию на ThePirateBay. Злоумышленники нередко используют торрент-теркеры для распространения малвари, и в начале года одна из таких кампаний привлекла внимание исследователей: под видом взломанных версий платных программ на торрент-трекере распространялся троян, основная логика которого была реализована с помощью инсталляторов SetupFactory. Вредонос получил идентификатор Trojan-Downloader.Win32.PirateMatryoshka (далее просто PirateMatryoshka). Причем эксперты отметили, что малварь «раздавали» десятки различных аккаунтов, включая те, которые были зарегистрированы на TBP довольно давно.

How PirateMatryoshka malware infects users and is distributed on Pirate Bay
© 2019 Kaspersky Lab. All Rights Reserved.
KA$PER$KY3,"Матрёшка",вирусы,thepiratebay

                                                                Схема распространения малвари


Вместо искомого «пиратского» ПО на компьютер жертвы скачивался троян. На начальном этапе установщик расшифровывал еще один инсталлятор SetupFactory, предназначенный для отображения фишинговой страницы, которая открывалась непосредственно в окне установки и запрашивала учетные данные от аккаунта ThePirateBay (якобы для продолжения процесса).

Login
In order to continue the install please enter your Piratebay user and pass below This is just to confirm that you are Human!
username
password
Login
If u don't have an PirateBay account Please Click Here and Register an account.
Please fill both username and password
Login | Register

Эксперты полагают, что скомпрометированные учетные записи использовались злоумышленниками для дальнейшего распространения вредоносных торрентов. Как уже было сказано выше, для этого применялись не только свежесозданные аккаунты.

Перед выполнением следующего шага PirateMatryoshka проверяет, что впервые запускается в атакуемой системе. Для этого он ищет в реестре путь HKEY_CURRENT_USER\Software\dSet. Если тот существует, дальнейшее выполнение прекращается. Если результат проверки отрицательный, инсталлятор обращается к сервису pastebin.com для получения ссылки на дополнительный модуль и ключа для его расшифровки.

Второй загруженный компонент так же является инсталлятором SetupFactory, который используется для расшифровки и последовательного запуска четырех PE-файлов.

Второй и четвертый из этих файлов — загрузчики файловых партнерских программ InstallCapital и MegaDowl (классифицируются как Adware). Обычно они попадают к пользователям через сайты-файлообменники, их цель — вместе с загрузкой нужного контента установить дополнительное ПО, при этом тщательно скрывая возможность отказаться от него. Например, в InstallCapital полный список устанавливаемого ПО можно найти только в конце лицензионного соглашения, а в MegaDowl он скрывается за якобы неактивной кнопкой «Дополнительные параметры».

DivxStar
DivxStar Setup
Install
DivxStar will be installed together with OnlineApp, Xtex, FastDataX, Share Folder, MuKfTimer. You can customize which compenents to install here. Please read the terms and Privacy Policy.
Close Next >
DivxStar Setup
0 Xtex: By clicking "Next", I agree to the

Run or save file?
Name: XvidCodec Type: File
From: www.divx.com
[ Run ]
Iflono/iHWTe/ib^
Save
Cancel
Terms
Дополнительные параметры
X
0
0
0
0
0
0
0
0
0
0
0
0
0
Installing EveryDayHoliday, you agree with its Privacy Policy
Устанавливая расширение Fast search v2 Вы


Два других файла — автокликеры, написанные на VisualBasic, нужные для исключения варианта, когда пользователю все-таки удастся отказаться от установки дополнительного ПО (в этом случае злоумышленники не получат вознаграждение). Автокликеры запускаются до инсталляторов, а когда обнаруживают их окна, проставляют галочки в нужных местах и нажимают на кнопки, вместо пользователя соглашаясь с установкой ненужного ему софта.

Результатом заражения PirateMatryoshka станет заполнение компьютера жертвы нежелательными программами, которые будут раздражать пользователя, всячески затруднять работу с системой и тратить ее ресурсы. Исследователи подчеркивают, что ситуация осложняется и тем, что владельцы файловых партнерских программ зачастую не следят за софтом, который предлагается в их загрузчиках. По данным «Лаборатории Касперского», каждый пятый файл, предлагаемый партнерскими инсталляторами, является вредоносным (среди них можно встретить трояны pBot, Razy и так далее).

ЧГг.ЖСТЩ
Launch
Syste...
^ Apps & Tools
System Information:
OS: Windows 7 Professional RAI CPU: Intel (R) CorefTM) ¡5-3470 CPU GPU: VirtualBox Graphics Adapter
Одноклас,
Небеса	Angry Pets
•*•*•*•*■* Feedbacks: 81	*****
Mafia	Farmerama
Feedbacks: 63	***** Feedbacks: 233	***** Feedbacks:

                                                     Пример последствий работы загрузчика партнерской программы



Статья взята с сайта https://xakep.ru/
Более подробно на сайте Лаборатории Касперского из ссылки в статье.

Развернуть
В этом разделе мы собираем самые смешные приколы (комиксы и картинки) по теме "Матрёшка" (+1 картинка, рейтинг 18.9 - "Матрёшка")