Распространяемый через торренты поддельный видеофайл подменяет результаты поиска в Google

[RedruMZ]

Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay.
Распространяемое через The Pirate Bay и замаскированное под видеофайл вредоносное ПО заражает компьютеры под управлением Windows и выполняет ряд вредоносных функций. К примеру, вредонос способен внедрять подготовленный злоумышленником контент на такие популярные сайты, как Википедия, Google или Яндекс.
Киберпреступники часто распространяют вредоносное ПО через The Pirate Bay, однако в данном случае интерес вызывает необычный способ заражения компьютеров и большое разнообразие вредоносной активности.
Все началось с того, что исследователь безопасности 0xffff0800 скачал с The Pirate Bay фильм «Девушка, которая застряла в паутине». Однако вместо видеофайла он получил файл .LNK, выполнявший команды PowerShell.
Исследователя заинтересовала иконка файла, и он пропустил его через VirusTotal. Как показало сканирование, файл представлял собой вредоносное ПО CozyBear, используемое одноименной APT-группой, также известной как APT29 и CozyDuke. Тем не менее, этот результат оказался ошибочным. По словам Ника Карра (Nick Carr) из FireEye Advanced Practices Team, вредоносные .LNK – частое явление в сфере интернет-пиратства.
0xffff0800 опубликовал скачанный файл .LNK, и как показал быстрый анализ Лоуренса Абрамса (Lawrence Abrams) из Bleeping Computer, он представляет собой нечто большее, чем просто инжектор рекламы для страницы поиска Google. Помимо внедрения контента на множество сайтов, вредонос отслеживает страницы кошельков Bitcoin и Ethereum и заменяет их другими, принадлежащими киберпреступникам.
Чтобы проделать все вышеописанное, вредонос модифицирует ключи реестра для отключения Windows Defender. ПО также принудительно устанавливает в Firefox расширение Firefox Protection и взламывает расширение для Chrome под названием Chrome Media Router, заменяя ID на «pkedcjkdefgpdelpbcmbmeomcjbeemfm».
Сразу после запуска браузера вредоносное расширение подключается к базе данных Firebase и извлекает оттуда множество настроек, в том числе JavaScript-код для внедрения в различные web-страницы.
В страницу поисковой выдачи Google вредонос внедряет нужные злоумышленнику результаты поиска (к примеру, сайты, предлагающие подозрительное антивирусное ПО). То же самое происходит и с другими поисковиками. Например, на странице Википедии отображается поддельный баннер с просьбой оказать финансовую поддержку в виде криптовалюты.