Техническая мысль хакеров не знает рамок — исследователи выявили новый вирус, атакующий компьютеры с ОС Windows сразу с нескольких направлений. Пытаясь запустить фильм (в данном случае — «Девушка, которая застряла в паутине»), скачанный с торрента, пользователь активирует вирус, подменяющий рекламные баннеры, фильтрующий выдачу поисковиков, выпрашивающий пожертвования в биткоинах от имени Википедии и, наконец, банально ворующий крипту.
Сюрприз выявлен в числе файлов, скачанных с The Pirate Bay — вирус маскировался под файл фильма о девушке-хакере, что добавляет иронии ситуации.
Выявивший угрозу исследователь обратил внимание на нетипичную иконку предположительно видеофайла, скачанного им с торрента, и решил приглядеться к нему повнимательнее. Запуск файла, представляющего собой ярлык .LNK, активировал бы команду PowerShell, запускавшую целый сценарий.
Проверка антивирусом идентифицировала файл как носитель вируса авторства хакерской группы CozyBear, довольно давно известного и относительно безопасного. Однако модификация главной страницы Google путем добавления к ней дополнительных баннеров оказалась только верхушкой айсберга.
Запущенный вирус подменяет результаты поисковой выдачи в Google и Яндекс, продвигая по запросу «антивирус» на первые позиции указанные хакером программы, в частности TotalAV. По другим запросам на первые места выдвигаются страницы соцсети Вконтакте, связанные с торрентами и криптовалютами, но на этом сюрпризы не заканчиваются.
При заходе на Википедию, например, пользователю подсовывается баннер с сообщением о том, что бесплатная энциклопедия принимает пожертвования в криптовалюте, что позволит ей и дальше оставаться бесплатной. Указанные адреса для пожертвований в биткоине и эфире, естественно, никакой связи с Википедией не имеют.
Однако эти адреса прямо связаны с неизвестными лицами, потрудившимися над вирусом. При совершении транзакций в криптовалюте скрипт осуществляет подмену скопированного в буфер адреса кошелька, на который пользователь собирается отправить определенную сумму в биткоине или эфире, на один из своих адресов.
Как отмечает издание Bleeping Computer, ни факт скачивания зараженных файлов с торрентов, ни методы, используемые злоумышленниками, не являются революционно новыми. Обращает на себя внимание скорее комплексность подхода — запуск одного файла активирует сразу несколько атак, и теоретически хакеры могут использовать какие угодно комбинации, если сочтут этот метод достаточно перспективным.
