Троян PirateMatryoshka атакует пользователей The Pirate Bay

08 марта 2019 г., пятница

Аналитики «Лаборатории Касперского» описали модульный троян-дроппер, распространяемый под видом взломанного ПО.

Эксперты «Лаборатории Касперского» описали схему распространения модульного дроппера PirateMatryoshka. Преступники размещают мошенническое ПО под видом взломанных версий программ и пиратского контента в раздачах на торрент-трекере The Pirate Bay.

Скачанные файлы устанавливают на компьютер жертвы рекламное ПО и пытаются похитить ее аккаунт, чтобы создать на трекере новые раздачи. По данным экспертов, преступники распространяли ПО через десятки учетных записей. Они выдавали троян за различные утилиты и компьютерные игры.

Заражение начинается с запуска установщика PirateMatryoshka. Он работает на основе пакетов Setup Factory и предназначен для расшифровки инсталлятора, в котором открывается фальшивая форма аутентификации The Pirate Bay. Фишинговая страница загружается прямо в окне установки и создана мошенниками для кражи аккаунтов у пользователей трекера.

Вне зависимости от действий жертвы, после отображения веб-страницы установщик проверяет, запускается ли он в системе жертвы впервые. Для этого он ищет в реестре путь HKEY_CURRENT_USERSoftwaredSet. Если обнаружить его не получается, инсталлятор продолжает работу и обращается к интернет-странице за ссылкой на установщик рекламного ПО и ключом его расшифровки.

Скачанный пакет (тоже Setup Factory) предназначен для расшифровки и запуска четырех исполняемых файлов: oyce.exe, SetupDiv.exe, coduc.exe и Xvid.exe.

Два из них — загрузчики программ InstallCapital и MegaDowl. Создателям подобного ПО платят за распространение приложений партнеров и мошенники нередко прибегают к их услугам. Оно скрытно устанавливает другой софт, а результатом его работы часто становится заражение компьютера нежелательным и вредоносным ПО.

Другие два файла — боты-кликеры, запускаемые перед партнерскими программами и подготовленные мошенниками в качестве подстраховки. Если жертва откажется от установки InstallCapital и MegaDowl, боты повторно проставят галочки во всех полях и согласятся с установкой ненужного софта.

Первый шифровальщик в этом году — модульный троян Anatova — как и PirateMatryoshka, обнаружился на одном из трекеров, где маскировался под игры и другие программы.

Threatpost