#
Ett nytt hot mot Windows-datorer. Viruset, som skapats av CozyBear-kollektivet, är förklätt som en film som kan laddas ner från Torrent och orsakar stor skada
Hackapparaternas fantasi tycks verkligen vara oändlig och historiskt sett är en av de metoder som används av webbkriminella för att infektera våra datorer att gömma virus i Torrent-filer med piratkopierade filmer som laddas upp till den välkända plattformen The Pirate Bay (TPB).
Ett exempel på detta förfarande, som nyligen upptäcktes och sedan blockerades innan det kunde orsaka större skada, visar hur farliga dessa virus är: i en Torrent-fil för att ladda ner filmen "Millennium - What Doesn't Kill" hittades skadlig kod som ändrar resultatsidorna i sökmotorerna Google och Yandex och som försöker genomföra en bluff genom att infektera Wikipediasidor. Målet är alltid detsamma: att tjäna pengar bakom ryggen på användarna med hjälp av sofistikerad taktik på hög nivå.
Detta virus och denna bluff har skapats av CozyBear, en rysk hackergrupp som är känd under flera namn (APT29, CozyDuke, CozyCar, Grizzly Bear). CozyBear har varit aktivt sedan 2008, men blev känt i augusti 2015, när det lyckades bryta sig in i Pentagons e-postservrar och få tillgång till mer än 2 500 e-postkonton för civil och militär personal vid det amerikanska försvarsdepartementet.
Hur Torrent-viruset fungerar
Sättet som viruset fungerar på är i korthet följande: i videofilen för den piratkopierade filmen har en .LNK-fil lagts in. Det här tillägget används för Windows-genvägar, dvs. genvägar till originalfiler, som kan placeras på skrivbordet för snabb åtkomst till filer eller mappar som finns på olika ställen på hårddisken. Men när användaren klickade på den hackade genvägen började infektionen: ett PowerShell-kommando kördes, som i sin tur körde ett skript med skadlig kod. Från och med då infekterades Google- och Yandex-sökningar.
Sökmotorresultat som hackats
För att göra detta modifierade skadlig kod vissa nycklar i Windows-registret för att inaktivera Windows Defender-skyddet. Den installerade också ett tillägg i Firefox som heter "Firefox Protection" och ändrade Chrome-tillägget "Chrome Media Router". På detta sätt inaktiverade han operativsystemet och de två vanligaste webbläsarna. Varje gång användaren öppnade webbläsaren för att surfa på Internet kopplades skadlig kod till en databas och utförde olika inställningar och JavaScript-kod på olika webbsidor.
Om användaren till exempel sökte efter "spyware" på Google, och troligen letade efter det bästa antivirusprogrammet för att skydda sig mot spionprogram, visade de två första (hackade) resultaten på webbplatser som rekommenderade ett antivirusprogram som hette TotalAV, i stället för de webbplatser med antivirusprogram som normalt sett skulle visas högst upp på Googles söksida. Samma sak hände med resultaten från Yandex, en sökmotor som används flitigt i Ryssland.
Falska donationer till Wikipedia
Men det finns mer: förutom att infektera sökmotorsidor infekterade viruset i den piratkopierade filmen även Wikipediasidor genom att visa en banner högst upp som säger att Wikipedia nu tar emot donationer i kryptovalutor (vilket är helt falskt). Bannern innehöll också två adresser till kryptovalutaplånböcker dit donationer kunde skickas: en för Bitcoin och en för Ethereum. Plånböcker som tillhörde hackarna, förstås. En tredje adress till en Bitcoin-plånbok hittades i de skript som hämtades av det skadliga programmet, men verkar inte ingå i bedrägeriet med Wikipedia-donationer.
Alla tre plånböcker är en del av en annan skadlig aktivitet som är utformad för att ersätta Bitcoin- och Ethereum-adresser på webbsidor. Denna taktik visar inga tecken på att varna användaren för tricket eftersom plånböckerna är en lång rad slumpmässiga tecken och de flesta användare kan inte se skillnad på en riktig plånbok och en hackad plånbok. Varje gång användaren öppnade en sida som innehöll strängar från legitima kryptovalutaplånböcker ersatte viruset dessa strängar med strängar från hackarnas plånböcker, vilket ledde till att betalningar och donationer gick till de cyberkriminellas konto.