Torrent orqali tarqatilgan soxta videofayl Google qidiruv natijalarini o’zgartirmoqda.
Kiberjinoyatchilar ko’pincha zararli dasturlarni The Pirate Bay orqali tarqatadilar.
The Pirate Bay orqali tarqatiladigan va videofayl sifatida niqoblangan zararli dastur Windows kompyuterlarini yuqtiradi va bir qator zararli funktsiyalarni bajaradi. Masalan, zararli dastur Wikipedia, Google va Yandex kabi mashhur veb-saytlarga zararli kontentni kiritishga qodir. Kiberjinoyatchilar ko’pincha The Pirate Bay orqali zararli dasturlarni tarqatishadi, ammo bu holda kompyuterlarni yuqtirishning g’ayrioddiy usuli va zararli faoliyatning xilma-xilligi qiziqish uyg’otadi.
Hammasi xavfsizlik bo’yicha tadqiqotchi 0xffff0800 The Pirate Bay’dan “O’rgimchak to’ridagi qiz” filmini yuklab olganida boshlandi. Biroq, videofayl o’rniga u PowerShell buyruqlarini bajaradigan .LNK faylini oldi.
Tadqiqotchi fayl ikonkasiga qiziqib qoldi va uni VirusTotal orqali ishga tushirdi. Skanerlash natijasida fayl APT29 va CozyDuke nomi bilan ham tanilgan shu nomdagi APT guruhi tomonidan ishlatiladigan CozyBear zararli dasturi ekanligi aniqlandi. Biroq, bu natija noto’g’ri bo’lib chiqdi. FireEye Advanced Practices Team vakili Nik Karrning so’zlariga ko’ra, zararli .LNK fayllari onlayn qaroqchilikda keng tarqalgan.
0xffff0800 yuklab olingan .LNK faylini nashr etdi va Bleeping Computer kompaniyasidan Lourens Abramsning tezkor tahlili shuni ko’rsatdiki, bu shunchaki Google qidiruv sahifasi uchun reklama injektoridan ko’proq narsa. Ko’plab veb-saytlarga kontent kiritishdan tashqari, zararli dastur Bitcoin va Ethereum hamyon sahifalarini kuzatib boradi va ularni kiberjinoyatchilarga tegishli boshqa sahifalar bilan almashtiradi.
Yuqoridagilarning barchasiga erishish uchun zararli dastur Windows Defenderni o’chirib qo’yish uchun registr kalitlarini o’zgartiradi. Shuningdek, u Firefox-ga Firefox Protection kengaytmasini majburan o’rnatadi va Chrome Media Router kengaytmasini buzib kiradi, uning identifikatorini «pkedcjkdefgpdelpbcmbmeomcjbeemfm» bilan almashtiradi.
Brauzer ishga tushirilgandan so’ng darhol zararli kengaytma Firebase ma’lumotlar bazasiga ulanadi va u yerdan turli veb-sahifalarga kiritish uchun JavaScript kodini o’z ichiga olgan ko’plab sozlamalarni oladi.
Zararli dastur Google qidiruv natijalari sahifasiga maqsadli qidiruv natijalarini (masalan, shubhali antivirus dasturini taklif qiluvchi saytlar) kiritadi. Xuddi shu narsa boshqa qidiruv tizimlarida ham sodir bo’ladi. Masalan, Vikipediya sahifasida kriptovalyuta ko’rinishida moliyaviy yordam so’rab soxta banner paydo bo’ladi.
