Nový pokročilý malware PirateMatryoshka ohrožuje uživatele Pirate Bay

20. 3. 2019 v sekci Článek

Hlavním cílem malwaru, který Kaspersky Lab detekuje jako Trojan-Downloader.Win32.PirateMatryoshka a Trojan.Win32.InstClick, je infikovat počítače uživatelů adwarem a nástroji, které umožní další instalaci škodlivého softwaru. Malware má několikavrstvou struktura a skryté, téměř neomezené množství funkcí. I proto ho odborníci pojmenovali po tradiční ruské panence matrjošce – PirateMatryoshka.

Torrenty se ve většině případů používají k šíření „pirátských“ kopií různých souborů, a proto jsou ve většině zemí pro porušování autorských práv zakázány. I přes to jsou ale tyto služby velmi snadno přístupné na internetu a často je využívají také kyberzločinci, kteří jejich prostřednictvím šíří škodlivé kódy. Uživatelé totiž často za účelem stažení ilegálního obsahu vypínají své bezpečnostní programy nebo ignorují systémová upozornění. To útočníkům notně usnadňuje jejich nekalé aktivity.

Nově objevený malware PirateMatryoshka infikuje napadená zařízení Trojan-downloaderem (malwarem, který stahuje podvodné installery), který se maskuje jako hacknutá verze legitimního softwaru, který uživatelé na svých zařízeních běžně používají.

Malware využívá z pohledu sociálního inženýrství velmi zajímavý způsob sebepropagace. Zatímco většina škodlivých kódů objevených na torrentech ke svému šíření využívá nově založené účty (tzv. seedery), malware PirateMatryoshka se šíří prostřednictvím zavedených účtů, které doposud nebyly využívány ke škodlivým aktivitám. Uživatelé tak při stahování obsahu od ověřených seederů nemají žádné podezření, že by mohlo jít o škodlivý soubor.

Poté co uživatel spustí instalaci souboru, iniciuje zároveň i infekci PirateMatryoshkou. Jako první se zobrazí domovská stránka Pirate Bay, která je ve skutečnosti phishingovou stránkou. Tady má uživatel zadat své přihlašovací údaje, aby mohl pokračovat v instalaci souboru. Tyto přihlašovací údaje později použije malware k vytvoření nových seederů, jejichž prostřednictvím bude šířit PirateMatryoshku. Podle analýzy Kaspersky Lab doposud na phishingovou stránku vstoupilo okolo 10 000 uživatelů.

Zákeřnost malwaru spočívá i v tom, že k infekci dojde i v případě, kdy uživatel odmítne vyplnit své přihlašovací údaje. V takovém případě malware rozbalí další zákeřné moduly, mezi které patří škodlivý clicker, který je mimo jiné schopný zaškrtnout políčko „souhlasím“, čímž potvrdí instalaci adwaru. Ten následně zaplaví počítač nevyžádaným softwarem. Zhruba 70 % nainstalovaných programů tvoří adware jako je pBota 10 % tvoří malware, který má za úkol do počítače zanést další škodlivé softwary, jako jsou trojan downloadery. PirateMatryoshka tak kombinuje sofistikovaný malware s řadou funkcí, které slouží pro účinné šíření svého a dalšího obsahu. 

Podle odborníků z Kaspersky Lab je PirateMatryoshka unikátní svojí sofistikovaností, protože malware, který se do uživatelova počítače dostane prostřednictvím adwaru, může spustit další škodlivé installery. Jde přitom o necílený, masový útok, který pro svou vlastní propagaci obsahuje phishingové komponenty. 

Aby uživatelé zůstali v bezpečí před touto hrozbou, doporučují odborníci Kaspersky Lab následující opatření:

  • Používat pouze legitimní software stažený z oficiálních stránek.
  • Zvláštní pozornost je nutné věnovat autentičnosti webových stránek.
  • Je vhodné neopomenout aktualizované bezpečnostní řešení, které automaticky a bezpečně vyplňuje přihlašovací údaje pouze na důvěryhodných webech, a které poskytuje komplexní ochranu před širokou škálou kybernetických hrozeb.

Více informací se o malwaru PirateMatryoshka dozvíte na blogu Securelist.com.

Zdroj: Kaspersky Lab






Tento web používá cookies. Více informací ROZUMÍM