Исследователи от Veriti Research обнаружили новую кампанию вредоносного ПО, связанную с пиратской версией фильма "Белоснежка". Злоумышленники использовали блог на взломанном веб-сайте для распространения вредоносного кода через торрент-сайты. Вредоносный пакет, представляющий собой программу установки кодеков, на самом деле содержит сложно организованное вредоносное ПО, которое компрометирует пользовательские устройства и распространяется через пиринговые сети.
Описание
Исследователи выяснили, что запись в блоге, предлагающая скачать пиратскую версию фильма "Белоснежка", была вредоносной и содержала магнитную ссылку на торрент. После скачивания пакета, включающего вредоносный исполняемый файл, пользователи ставят свои устройства под угрозу. Вредоносное ПО, скомпилированное в июле 2024 года, загружает дополнительные файлы, устанавливает браузер TOR и выполняет связь с доменом Dark Web .onion. Оно также отключает Windows Defender и другие встроенные средства защиты.
Злоумышленники используют анонимность сети TOR для маскировки своих коммуникаций и обхода традиционных механизмов обнаружения. Они также прибегают к старым трюкам социальной инженерии, заставляя пользователей устанавливать пакеты кодеков для просмотра пиратского видео, теперь встроенных в них вредоносных ПО.
Из результатов исследования можно сделать два вывода. Во-первых, пиратский контент все еще является эффективным способом распространения вредоносного ПО, особенно если он связан с трендовыми и популярными медиафайлами. Во-вторых, злоумышленники активно используют устаревшие платформы и плагины, такие как WordPress, для создания надежных приманок.
Исследователи Veriti рекомендуют избегать пиратского контента и быть внимательными при скачивании файлов из ненадежных источников. Они также рекомендуют жертвам данной кампании проверить свои системы на наличие вредоносного ПО и обновить свои антивирусные программы для обеспечения защиты устройств.
Indicators of Compromise
URLs
- http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion
- http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion/route.php
SHA256
- 2ec555c34f0af1514501ca5e4d999c843d5b9de7973467820fcf6034a517c4cc
- 8b81b0017c0e154c1fdea226f1ad0d3cfc0e301af05698bdbb7d0d6037d71a12
- 9c1a0608bae991af50096acaec9d979df9f9a3bb6e89d9d20972d6cfeb9582bb
