Исследователи из компании Veriti Research обнаружили новую масштабную кампанию по распространению вредоносного ПО, связанную с пиратской версией фильма "Белоснежка". Злоумышленники использовали взломанный веб-сайт с блогом для продвижения зараженного торрент-файла, маскируя его под легитимное предложение скачать популярный фильм. Однако вместо киноленты пользователи получали сложно организованное вредоносное ПО, способное не только заразить устройство, но и распространяться дальше через пиринговые сети.
Описание
Как выяснили специалисты, блоговая запись, предлагавшая скачать "Белоснежку", содержала магнитную ссылку на торрент, ведущий к вредоносному пакету. Внутри него находился исполняемый файл, замаскированный под установщик кодеков, без которых якобы нельзя было просмотреть фильм. На деле же этот файл содержал опасный код, скомпилированный еще в июле 2024 года. После запуска он не только заражал систему, но и загружал дополнительные вредоносные модули, устанавливал браузер TOR и подключался к домену в Dark Web с расширением .onion.
Особую опасность представляет способность этого вредоносного ПО отключать встроенные средства защиты Windows, включая Windows Defender. Это делает систему практически беззащитной перед дальнейшими атаками. Кроме того, злоумышленники активно используют анонимность сети TOR, что позволяет им скрывать свои коммуникации и обходить традиционные механизмы обнаружения угроз.
Важно отметить, что атака построена на старых, но все еще эффективных методах социальной инженерии. Пользователей убеждают в необходимости установки "кодеков" для просмотра пиратского контента, хотя на самом деле они скачивают вредоносное ПО. Этот подход особенно опасен, так как эксплуатирует доверие людей к привычным схемам загрузки медиафайлов.
Из исследования Veriti Research можно сделать несколько важных выводов. Во-первых, пиратский контент остается одним из самых эффективных способов распространения вредоносного ПО, особенно если он связан с популярными фильмами или сериалами. Во-вторых, злоумышленники активно используют устаревшие платформы, такие как взломанные WordPress-сайты, для создания убедительных ловушек.
Эксперты настоятельно рекомендуют избегать скачивания пиратского контента, особенно с торрент-сайтов и других ненадежных источников. Если заражение уже произошло, необходимо как можно скорее проверить систему на наличие вредоносного ПО и обновить антивирусные программы. Кроме того, важно помнить, что даже легитимные на первый взгляд файлы могут нести угрозу, поэтому стоит всегда проверять их перед запуском.
Эта история служит очередным напоминанием о том, что киберпреступники постоянно совершенствуют свои методы, а пиратский контент остается одним из самых опасных каналов заражения. Оставаться в безопасности можно только соблюдая цифровую гигиену и избегая сомнительных источников загрузки файлов.
Индикаторы компрометации
URLs
- http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion
- http://cgky6bn6ux5wvlybtmm3z255igt52ljml2ngnc5qp3cnw5jlglamisad.onion/route.php
SHA256
- 2ec555c34f0af1514501ca5e4d999c843d5b9de7973467820fcf6034a517c4cc
- 8b81b0017c0e154c1fdea226f1ad0d3cfc0e301af05698bdbb7d0d6037d71a12
- 9c1a0608bae991af50096acaec9d979df9f9a3bb6e89d9d20972d6cfeb9582bb
