SOS :: Security Operation Space
27 мая, понедельник, 00:00
|
Hot News:

Троян PirateMatryoshka атакует пользователей The Pirate Bay

07 марта 2019 г., четверг, 16:47

Аналитики «Лаборатории Касперского» описали модульный троян-дроппер, распространяемый под видом взломанного ПО.

Эксперты «Лаборатории Касперского» описали схему распространения модульного дроппера PirateMatryoshka. Преступники размещают мошенническое ПО под видом взломанных версий программ и пиратского контента в раздачах на торрент-трекере The Pirate Bay.

Скачанные файлы устанавливают на компьютер жертвы рекламное ПО и пытаются похитить ее аккаунт, чтобы создать на трекере новые раздачи. По данным экспертов, преступники распространяли ПО через десятки учетных записей. Они выдавали троян за различные утилиты и компьютерные игры.

Заражение начинается с запуска установщика PirateMatryoshka. Он работает на основе пакетов Setup Factory и предназначен для расшифровки инсталлятора, в котором открывается фальшивая форма аутентификации The Pirate Bay. Фишинговая страница загружается прямо в окне установки и создана мошенниками для кражи аккаунтов у пользователей трекера.

Вне зависимости от действий жертвы, после отображения веб-страницы установщик проверяет, запускается ли он в системе жертвы впервые. Для этого он ищет в реестре путь HKEY_CURRENT_USERSoftwaredSet. Если обнаружить его не получается, инсталлятор продолжает работу и обращается к интернет-странице за ссылкой на установщик рекламного ПО и ключом его расшифровки.

Скачанный пакет (тоже Setup Factory) предназначен для расшифровки и запуска четырех исполняемых файлов: oyce.exe, SetupDiv.exe, coduc.exe и Xvid.exe.

Два из них — загрузчики программ InstallCapital и MegaDowl. Создателям подобного ПО платят за распространение приложений партнеров и мошенники нередко прибегают к их услугам. Оно скрытно устанавливает другой софт, а результатом его работы часто становится заражение компьютера нежелательным и вредоносным ПО.

Другие два файла — боты-кликеры, запускаемые перед партнерскими программами и подготовленные мошенниками в качестве подстраховки. Если жертва откажется от установки InstallCapital и MegaDowl, боты повторно проставят галочки во всех полях и согласятся с установкой ненужного софта.

Первый шифровальщик в этом году — модульный троян Anatova — как и PirateMatryoshka, обнаружился на одном из трекеров, где маскировался под игры и другие программы.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
15:53
14:33
14:15
13:15
11:15
11:15
10:15
09:15
08:15
07:15
07:15
06:15
16:35
14:15
13:45
13:39
13:15
11:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.282
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.