Исследователи из Palo Alto Networks обнаружили русскоязычный портал, распространяющий вредоносное ПО. Веб-ресурс b-tor[.]ru, появившийся в июле 2017 года, предлагает скачать более 275 000 разных приложений и файлов.

По мнению специалистов, подозрительная активность на сайте началась еще в сентябре 2017 года. Ничего не подозревающие пользователи под видом торрентов скачивали архив с двойным расширением вида klient_world_of_.torrent[.]zip. Внутри хранилось исполняемое приложение с тем же именем. Для большей убедительности программа даже использовала иконку популярного клиента uTorrent, которая обычно присваивается BitTorrent-файлам.

Чтобы не вызывать у жертвы лишних подозрений, при запуске вредонос первым делом скачивает соответствующий торрент, предлагая выбрать папку для его сохранения. Если пользователь закроет окно, “чистый” файл так и не загрузится. Одновременно на зараженный компьютер устанавливается программа XMRig, которая стартует в фоновом режиме и приступает к добыче Monero для злоумышленников.

Скачивание майнера происходит в несколько этапов. Изначальный дроппер klient_world_of_.torrent.exe сохраняет в папку AppData/Defender Utility/ исполняемый файл defupdater.exe. Эта программа отвечает за бесперебойность вредоносной активности, а также загружает на компьютер еще одно приложение с названием update.

В свою очередь зловред update обновляет defupdater и скачивает исполняемый файл taskhostms.exe, который проверяет, запущен ли диспетчер задач. Если опасный для злоумышленников процесс не обнаружен, программа дает майнеру зеленый свет. Кроме того, taskhostms определяет версию системы и загружает на нее соответствующий конечный файл для майнинга — xm32 или xm64.

Торрент-сайты и клиенты регулярно становятся площадками для потенциальных и реальных атак на пользователей. Так, в конце февраля 2018 года в настольной и веб-версии uTorrent обнаружили критическую уязвимость, позволяющую злоумышленникам получить удаленный доступ к загрузкам жертвы, а через порталы с BitTorrent-файлами распространялся новый троян для macOS, маскирующийся под обновление Adobe Flash Player.

Категории: Вредоносные программы