Эксперты «Лаборатории Касперского» описали схему распространения модульного дроппера PirateMatryoshka. Преступники размещают мошенническое ПО под видом взломанных версий программ и пиратского контента в раздачах на торрент-трекере The Pirate Bay.

Скачанные файлы устанавливают на компьютер жертвы рекламное ПО и пытаются угнать ее аккаунт, чтобы создать на трекере новые раздачи. По данным экспертов, преступники распространяли ПО через десятки учетных записей и выдавали троян за различные утилиты и компьютерные игры.

Заражение начинается с запуска установщика PirateMatryoshka. Он работает на основе пакетов Setup Factory и предназначен для расшифровки инсталлятора, в котором открывается фальшивая форма аутентификации The Pirate Bay. Фишинговая страница загружается прямо в окне установки и создана мошенниками для кражи учетных данных пользователей трекера.

Вне зависимости от действий жертвы после отображения веб-страницы установщик проверяет, запускается ли он в системе впервые. Для этого он ищет в реестре путь HKEY_CURRENT_USER\Software\dSet. Если таковой отсутствует, инсталлятор продолжает работу и обращается к интернет-странице за ссылкой на установщик рекламного ПО и ключом его расшифровки.

Скачанный пакет (тоже Setup Factory) предназначен для расшифровки и запуска четырех исполняемых файлов: oyce.exe, SetupDiv.exe, coduc.exe и Xvid.exe.

Два из них — загрузчики программ InstallCapital и MegaDowl. Создателям подобного ПО платят за распространение приложений партнеров, и мошенники нередко прибегают к их услугам. Оно скрытно устанавливает другой софт, а результатом его работы часто становится заражение компьютера нежелательным и вредоносным ПО.

Другие два файла — боты-кликеры, запускаемые до партнерских программ и подготовленные мошенниками в качестве подстраховки. Если жертва откажется от установки InstallCapital и MegaDowl, боты повторно проставят галочки во всех полях и согласятся с установкой ненужного софта.

Первый шифровальщик в этом году — модульный троян Anatova — как и PirateMatryoshka, обнаружился на одном из трекеров, где маскировался под игры и другие программы.

Категории: Аналитика, Вредоносные программы