Piratematryoshka трояны The Pirate Bay пайдаланушыларына шабуыл жасауда

«Касперский Зертханасының» сарапшылары PirateMatryoshka модульдік дропперінің таралу схемасын сипаттады. Қылмыскерлер The Pirate Bay торрент-трекерінде таратуда қарақшылық контент және бағдарламалардың бұзылған нұсқалары түрінде алаяқтық БҚ орналастырады.

Жүктелген файлдар құрбанның компьютеріне жарнамалық БҚ орнатады және трекерде жаңа таратуларды жасау үшін оның аккаунтын ұрлап кетуге тырысады. Сарапшылардың мәліметтері бойынша, қылмыскерлер БҚ-ны ондаған есептік жазбалар арқылы таратқан және трояндарды түрлі утилиталар мен компьютерлік ойындар үшін берген.

Зақымдау PirateMatryoshka орнатушысының іске қосылуынан басталады. Ол Setup Factory пакеттерінің негізінде жұмыс істейді және The Pirate Bay аутентификациясының жалған нысаны ашылатын инсталляторды ашуға арналған. Фишинг парағы тікелей орнату терезесінде жүктеледі және трекерді пайдаланушылардың есептік деректерін ұрлау үшін алаяқтармен жасалған.

Құрбанның әрекетіне қарамастан, веб-парақтарда көрсетілгеннен кейін орнатушы жүйеде алғаш рет іске қосылады ма екенін тексереді. Ол үшін HKEY_CURRENT_USER\Software\dSet тізілімде жол іздейді. Егер осындай жоқ болса, инсталлятор жұмысын жалғастырады және интернет-парақшаға сілтеме үшін жарнамалық БҚ орнату және оны ашу кілтімен жүгінеді.

Жүктелген пакет (ол да Setup Factory) төрт орындалатын файлдарды ашуға және іске қосуға арналған: oyce.exe, SetupDiv.exe, coduc.exe және Xvid.exe.

Олардың екеуі - InstallCapital және MegaDowl бағдарламаларын жүктеушілер. Осындай БҚ құрушыларына серіктестердің қосымшаларын таратқаны үшін төлейді, ал алаяқтар олардың қызметтеріне жиі жүгінеді. Ол жасырын басқа софтты орнатады, ал оның жұмысының нәтижесінде жиі компьютерді жағымсыз және зиянды БҚ зақымдау болады.

Басқа екі файл – боттар-кликерлер, серіктестік бағдарламаларына дейін іске қосылатын және алаяқтармен сақтандыру ретінде дайындалған. Егер құрбан InstallCapital және MegaDowl орнатудан бас тартса, боттар барлық жиектерге қайтадан белгілі қояды және қажетсіз софтты орнатумен келіседі.

Осы жылы бірінші шифрлаушы - Anatova модульдік троян – PirateMatryoshka сияқты, ойындар мен басқа бағдарламалар астында жасырынғантрекерлердін бірінде табылды.

Ақпарат көзі: threatpost.ru