Користувачам комп’ютерів під управлінням Windows загрожує шкідливе програмне забезпечення, замасковане під відеофайл. Розповсюджується “шкідник” через торрент-трекер The Pirate Bay, пише internet.ua.
Шкідник відзначається незвичайним способом зараження комп’ютерів та різноманітністю шкідливої активності. Наприклад, він здатний впроваджувати підготовлений зловмисником контент на такі популярні сайти, як Вікіпедія та Google.
Дослідник з безпеки, зареєстрований на сайті The Pirate Bay під ніком 0xffff0800, під час завантаження фільму натрапив на вірус. Замість відеофайлу він отримав файл .LNK, що виконував команди PowerShell.
Дослідник вирішив пропустити отриманий файл через VirusTotal. Сканування показало, що файл є шкідливим програмним забезпеченням CozyBear, що використовується однойменною APT-групою, також відомою як APT29 і CozyDuke.
Для того, щоб замінити сторінки, шкідливе програмне забезпечення модифікує ключі реєстру для відключення Windows Defender. Крім цього, шкідник примусово встановлює в Firefox розширення Firefox Protection і зламує розширення для Chrome під назвою Chrome Media Router, замінюючи ID на “pkedcjkdefgpdelpbcmbmeomcjbeemfm”.
Відразу після запуску браузера шкідливе розширення підключається до бази даних Firebase і витягує звідти безліч налаштувань, в тому числі JavaScript-код для впровадження в різні web-сторінки.
Далі в сторінку пошукової видачі Google шкідник впроваджує потрібні зловмисникові результати пошуку (наприклад, сайти, що пропонують підозріле антивірусне програмне забезпечення). Те ж саме відбувається й з іншими пошуковими системами. Наприклад, на сторінці Вікіпедії відображається підроблений банер з проханням надати фінансову підтримку у вигляді криптовалюти.