CozyBear – wirus przebrany za piracki film, który kradnie Twoje pieniądze


Nowe zagrożenie dla komputerów z systemem Windows. Wirus, stworzony przez kolektyw CozyBear, jest zakamuflowany jako film do pobrania z sieci Torrent i powoduje wiele szkód

Wyobraźnia hakerów wydaje się naprawdę nieograniczona i historycznie jedną z metod wykorzystywanych przez internetowych przestępców do infekowania naszych komputerów jest również ukrywanie wirusów w plikach Torrent z pirackimi filmami, umieszczanych na znanej platformie The Pirate Bay (TPB).

Jeden z przykładów takiej praktyki, niedawno odkryty i zablokowany, zanim zdążył wyrządzić duże szkody, pokazuje niebezpieczeństwo związane z tymi wirusami: w pliku torrent do pobrania filmu "Millennium - co nie zabija" znaleziono złośliwy kod, który modyfikuje strony wyników wyszukiwarek Google i Yandex oraz próbuje dokonać oszustwa poprzez zainfekowanie stron Wikipedii. Cel jest zawsze ten sam: zarabianie pieniędzy za plecami użytkowników, przy użyciu wyrafinowanych, zaawansowanych taktyk.

Ten wirus i oszustwo zostały stworzone przez CozyBear, rosyjską grupę hakerów znaną pod kilkoma nazwami (APT29, CozyDuke, CozyCar, Grizzly Bear). CozyBear jest aktywny od 2008 roku, ale stał się sławny w sierpniu 2015 roku, kiedy udało mu się złamać serwery pocztowe Pentagonu i uzyskać dostęp do ponad 2500 kont pocztowych personelu cywilnego i wojskowego Departamentu Obrony USA.

Jak działa wirus Torrent

Sposób działania wirusa, w dużym skrócie, jest następujący: wewnątrz pliku wideo pirackiego filmu został wstawiony plik .LNK. To rozszerzenie jest używane dla skrótów Windows, czyli skrótów do oryginalnych plików, być może umieszczanych na pulpicie w celu szybkiego dostępu do plików lub folderów znajdujących się w różnych częściach dysku twardego. Kiedy jednak użytkownik kliknął na zhakowany skrót, rozpoczynała się infekcja: wykonywana była komenda PowerShell, która z kolei wykonywała skrypt ze złośliwym kodem. Od tego momentu zainfekowane zostały również wyszukiwarki Google i Yandex.


Zhakowane wyniki wyszukiwania

Aby tego dokonać, złośliwe oprogramowanie modyfikowało pewne klucze w rejestrze Windows, aby wyłączyć ochronę Windows Defender. Zainstalował również rozszerzenie do Firefoksa o nazwie "Firefox Protection" oraz zmodyfikował rozszerzenie do Chrome o nazwie "Chrome Media Router". W ten sposób wyłączył zabezpieczenia systemu operacyjnego oraz dwóch najczęściej używanych przeglądarek internetowych. Od tego momentu za każdym razem, gdy użytkownik otwierał przeglądarkę, aby surfować po Internecie, złośliwe oprogramowanie łączyło się z bazą danych i wykonywało różne ustawienia i kod JavaScript na różnych stronach internetowych.

Na przykład, jeśli użytkownik szukał w Google hasła "spyware", prawdopodobnie szukając najlepszego oprogramowania antywirusowego do ochrony przed spyware, zamiast stron z oprogramowaniem antywirusowym, które normalnie pojawiłyby się na górze strony wyszukiwania Google, pierwsze dwa (zhakowane) wyniki wskazywały na strony polecające antywirusa o nazwie TotalAV. To samo stało się z wynikami Yandexa, wyszukiwarki szeroko używanej w Rosji.


Fałszywe darowizny Wikipedii

Ale to nie wszystko: oprócz infekowania stron wyszukiwarek, wirus zawarty w pirackim filmie zainfekował również strony Wikipedii, wyświetlając u góry baner z informacją, że Wikipedia przyjmuje teraz darowizny w kryptowalutach (co jest całkowitą nieprawdą). Baner podawał również dwa adresy portfeli kryptowalutowych, na które można było wysyłać datki: jeden dla Bitcoin, drugi dla Ethereum. Portfele, które należały do hakerów, oczywiście. Trzeci adres portfela Bitcoin został znaleziony w skryptach pobranych przez złośliwe oprogramowanie, ale nie wydaje się być włączony do oszustwa związanego z darowiznami na rzecz Wikipedii.

Wszystkie trzy portfele są częścią innej złośliwej działalności mającej na celu zastąpienie adresów Bitcoin i Ethereum na stronach internetowych. Taktyka ta nie wykazuje żadnych oznak ostrzegania użytkownika przed podstępem, ponieważ portfele są długim ciągiem losowych znaków, a większość użytkowników nie jest w stanie odróżnić prawdziwego portfela od zhakowanego. W ten sposób, za każdym razem, gdy użytkownik otwierał stronę zawierającą ciągi znaków legalnych portfeli kryptowalutowych, wirus zastępował te ciągi znakami portfeli hakerów, przekierowując płatności i darowizny na konto cyberprzestępców.