Независимый ИБ-эксперт 0xffff0800 нашел LNK-вредонос, который распространяется через пиратские сайты под видом популярного кино. Опасный ярлык умеет демонстрировать нежелательную рекламу, продвигать сомнительное ПО и красть криптовалюту.

Исследователь обнаружил вредонос на сайте The Pirate Bay, когда решил скачать фильм «Девушка, которая застряла в паутине». У выбранной им раздачи было свыше 2,3 тыс. сидов. К удивлению пользователя, после загрузки он увидел не мультимедийный файл, а LNK-ярлык. Проверка онлайн-сканером VirusTotal показала, что в нем содержится вредоносный код.

Технически LNK-эксплойты — это обычные ярлыки Windows, где вместо пути к целевому объекту прописаны команды PowerShell. Разработчики Microsoft предусмотрели эту функцию, чтобы пользователь мог открыть файл, программу или папку с предустановленными опциями. Злоумышленники могут таким образом доставить и исполнить на компьютере практически любой вредоносный код.

Один из самых известных случаев применения этой техники — заражение иранских АЭС червем Stuxnet, который попал на закрытый объект именно в качестве LNK-эксплойта. В последние годы преступники также использовали зловредные ярлыки в атаках шифровальщика Locky и adware-трояна Kovter.

Новый вредонос также можно отнести к рекламному ПО, однако его функции не ограничиваются показом нежелательных баннеров. Как выяснили эксперты BleepingComputer, троян умеет подменять поисковую выдачу Google и Yandex, встраивать текстовые модули на страницы Wikipedia и менять адреса BTC-кошельков, где бы он их ни обнаружил.

Открытие зловредного ярлыка запускает цепочку команд, которая приводит к скачиванию полезной нагрузки в папку %AppData%. Троян также пытается закрепиться на компьютере, добавляя себя под названием Smart Monitoring в список служб, однако терпит неудачу, поскольку злоумышленники допустили в соответствующей команде синтаксическую ошибку.

Скрипт вносит изменения в реестр Windows, отключая встроенный в систему антивирус, и устанавливает зловредные расширения в Firefox и Chrome. После этого при каждом открытии браузера вредонос связывается с удаленной базой данных и скачивает оттуда JavaScript-код, который внедряет в интернет-страницы.

В результате пользователь начинает видеть баннеры на главной странице Google, а в поисковой выдаче по ИБ-запросам появляются ссылки на малоизвестный антивирусный продукт. По словам экспертов, вредоносный скрипт также продвигает торрент-трекеры и криптовалютные ресурсы через социальную сеть «ВКонтакте».

Если пользователь заходит на Википедию, то видит в верхней части страницы обращение якобы от администрации портала о том, что теперь пожертвования принимаются в криптовалюте. В сообщении указаны два адреса кошельков для переводов биткоинов и Ethereum. На момент публикации их баланс не превышал несколько сотен долларов. Исследователи также нашли в коде вредоноса номер третьего, не используемого в этой кампании, кошелька.

Все эти адреса применяются в еще в одной мошеннической схеме: злоумышленники подставляют их вместо реальных адресов, которые указываются на загружаемых страницах. Заметить подмену практически невозможно, поскольку большинство пользователей просто копирует номер, не проверяя его корректность. В результате перечисленные средства попадают к преступникам.

Авторы кампании пока не установлены. Первичный анализ VirusTotal показал сходство с вредоносом из арсенала Cozy Bear — LNK-эксплойты долгое время были одной из визитных карточек группировки. Однако эксперты полагают, что это случайное совпадение. С 2017 года, когда вредоносные ярлыки стали достоянием общественности, их взяли на вооружение и другие мошенники.

Описанная атака не работает, если пользователь сам не открывает LNK-файл. Таким образом, чтобы защититься от нее, достаточно внимательно следить за свойствами скачанных файлов.

Категории: Вредоносные программы, Мошенничество