SOS :: Security Operation Space
23 марта, суббота, 00:00
|
Hot News:

Троян PirateMatryoshka атакует пользователей The Pirate Bay

07 марта 2019 г., четверг, 16:47

Аналитики «Лаборатории Касперского» описали модульный троян-дроппер, распространяемый под видом взломанного ПО.

Эксперты «Лаборатории Касперского» описали схему распространения модульного дроппера PirateMatryoshka. Преступники размещают мошенническое ПО под видом взломанных версий программ и пиратского контента в раздачах на торрент-трекере The Pirate Bay.

Скачанные файлы устанавливают на компьютер жертвы рекламное ПО и пытаются похитить ее аккаунт, чтобы создать на трекере новые раздачи. По данным экспертов, преступники распространяли ПО через десятки учетных записей. Они выдавали троян за различные утилиты и компьютерные игры.

Заражение начинается с запуска установщика PirateMatryoshka. Он работает на основе пакетов Setup Factory и предназначен для расшифровки инсталлятора, в котором открывается фальшивая форма аутентификации The Pirate Bay. Фишинговая страница загружается прямо в окне установки и создана мошенниками для кражи аккаунтов у пользователей трекера.

Вне зависимости от действий жертвы, после отображения веб-страницы установщик проверяет, запускается ли он в системе жертвы впервые. Для этого он ищет в реестре путь HKEY_CURRENT_USERSoftwaredSet. Если обнаружить его не получается, инсталлятор продолжает работу и обращается к интернет-странице за ссылкой на установщик рекламного ПО и ключом его расшифровки.

Скачанный пакет (тоже Setup Factory) предназначен для расшифровки и запуска четырех исполняемых файлов: oyce.exe, SetupDiv.exe, coduc.exe и Xvid.exe.

Два из них — загрузчики программ InstallCapital и MegaDowl. Создателям подобного ПО платят за распространение приложений партнеров и мошенники нередко прибегают к их услугам. Оно скрытно устанавливает другой софт, а результатом его работы часто становится заражение компьютера нежелательным и вредоносным ПО.

Другие два файла — боты-кликеры, запускаемые перед партнерскими программами и подготовленные мошенниками в качестве подстраховки. Если жертва откажется от установки InstallCapital и MegaDowl, боты повторно проставят галочки во всех полях и согласятся с установкой ненужного софта.

Первый шифровальщик в этом году — модульный троян Anatova — как и PirateMatryoshka, обнаружился на одном из трекеров, где маскировался под игры и другие программы.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:19
12:15
10:15
10:15
09:15
08:15
07:15
06:24
05:26
16:31
16:24
16:15
14:19
13:15
13:15
11:15
09:15
08:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.262
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.