Nová hrozba pro počítače se systémem Windows. Virus vytvořený kolektivem CozyBear je maskován jako film stažitelný z Torrentu a způsobuje velké škody
Výstředěnost hackerů se zdá být skutečně nekonečná a historicky jednou z metod, kterou internetoví zločinci používají k infikování našich počítačů, je také skrývání virů v torrentových souborech pirátských filmů, nahraných na známou platformu The Pirate Bay (TPB).
O nebezpečnosti těchto virů svědčí jeden příklad, který byl nedávno objeven a následně zablokován dříve, než mohl způsobit větší škody: v souboru Torrent ke stažení filmu "Milénium - Co nezabíjí" byl nalezen škodlivý kód, který upravuje stránky s výsledky vyhledávačů Google a Yandex a pokouší se provést podvod infikováním stránek Wikipedie. Cíl je vždy stejný: vydělat na uživatelích peníze pomocí sofistikovaných taktik na vysoké úrovni.
Tento virus a podvod byl vytvořen CozyBear, ruskou hackerskou skupinou známou pod několika názvy (APT29, CozyDuke, CozyCar, Grizzly Bear). CozyBear je aktivní od roku 2008, ale proslavil se v srpnu 2015, kdy se mu podařilo prolomit e-mailové servery Pentagonu a získat přístup k více než 2 500 e-mailovým účtům civilních a vojenských zaměstnanců amerického ministerstva obrany.
Jak funguje virus Torrent
Způsob, jakým virus funguje, je ve zkratce následující: uvnitř videosouboru pirátského filmu je vložen soubor .LNK. Tato přípona se používá pro zástupce systému Windows, tj. zástupce původních souborů, které lze umístit na plochu pro rychlý přístup k souborům nebo složkám umístěným v různých částech pevného disku. Když však uživatel na hacknutého zástupce kliknul, spustila se infekce: spustil se příkaz PowerShell, který následně spustil skript se škodlivým kódem. Od té doby bylo infikováno vyhledávání na Googlu a Yandexu.
Výsledky hacknutého vyhledávače
Za tímto účelem malware upravil určité klíče v registru systému Windows, aby deaktivoval ochranu Windows Defender. Do prohlížeče Firefox nainstaloval rozšíření s názvem "Ochrana Firefoxu" a upravil rozšíření pro Chrome s názvem "Chrome Media Router". Tímto způsobem vypnul ochrany operačního systému a dvou nejpoužívanějších prohlížečů. Od té doby se malware pokaždé, když uživatel otevřel prohlížeč a surfoval na internetu, připojil k databázi a spustil různá nastavení a kód JavaScriptu na různých webových stránkách.
Pokud například uživatel vyhledal na Googlu slovo "spyware" a pravděpodobně hledal nejlepší antivirový software na ochranu před spywarem, místo stránek s antivirovým softwarem, které by se normálně objevily na začátku vyhledávací stránky Googlu, první dva (hacknuté) výsledky odkazovaly na webové stránky doporučující antivirus TotalAV. Totéž se stalo i s výsledky vyhledávače Yandex, který je v Rusku hojně využíván.
Falešné dary na Wikipedii
Ale je toho víc: kromě infikování stránek vyhledávače tento virus obsažený v pirátském filmu infikoval také stránky Wikipedie tím, že nahoře zobrazil banner s informací, že Wikipedie nyní přijímá dary v kryptoměnách (což je naprosto nepravdivé). Na banneru byly také uvedeny dvě adresy kryptoměnových peněženek, na které bylo možné posílat dary: jedna pro Bitcoin, druhá pro Ethereum. Samozřejmě peněženky, které patřily hackerům. Třetí adresa peněženky Bitcoin byla nalezena ve skriptech stažených škodlivým softwarem, ale nezdá se, že by byla zahrnuta do podvodu s dary pro Wikipedii.
Všechny tři peněženky jsou součástí další škodlivé aktivity, jejímž cílem je nahradit adresy Bitcoin a Ethereum na webových stránkách. Tato taktika nevykazuje žádné známky upozornění uživatele na tento trik, protože peněženky jsou dlouhým řetězcem náhodných znaků a většina uživatelů nedokáže rozlišit mezi skutečnou peněženkou a hacknutou peněženkou. Tímto způsobem virus pokaždé, když uživatel otevřel stránku obsahující řetězce legitimních peněženek s kryptoměnami, nahradil tyto řetězce řetězci z peněženek hackerů a přesměroval platby a dary na účet kyberzločinců.