E科技

您的位置:主页 > 前瞻

俄罗斯套娃式恶意软件对Pirate Bay用户进行攻击

卡巴斯基实验室研究人员检测到一种新的恶意软件通过最知名的BT网站之一的Pirate Bay(海盗湾)进行传播。这种恶意软件的目的是在用户计算机上安装广告软件和用于安装更多恶意软件的工具。该恶意软件具有多层级结果,而且隐蔽性强,看上去似乎有无尽的功能,所以根据经典的俄罗斯套娃,这种威胁被命名为PirateMatryoshka

BT服务主要被用来传播“盗版”内容,这些内容在大多数国家都是非法的,因为它会侵犯知识产权。但是,这种服务仍然很容易在线获取。它们是网络罪犯用来传播恶意代码最常用的攻击目标,因为用户在搜索非法内容时,通常会关闭自己的在线安全解决方案,或者为了安装下载的内容而忽视系统提示。

最新发现的PirateMatryoshka恶意软件包含一个木马下载器(一种能够下载恶意安装包的恶意软件),并且会伪装成一个日常经常使用的合法软件的破解版。

从社交工程角度来看,这种恶意软件使用了一种复杂的自我传播手段。大多数通过BT网站传播的恶意代码通常是通过新用户账户(做种者)传播的,但是PirateMatryoshka恶意软件却是利用没有恶意行为历史记录的已有做种者。后者在传播恶意代码方面更为有效,因为其作为做种者信誉良好,潜在受害者没有理由怀疑自己下载的文件是不安全的。

一旦用户点击安装文件,PirateMatryoshka的感染进程就会开始。首先,它会向受害者显示一个Pirate Bay页面,但实际上该页面是钓鱼网页,会要求用户输入登录凭证以继续安装。之后,恶意软件会使用这些凭证创建新的做种者来传播更多PirateMatryoshka恶意软件。研究显示,到目前为止,这些钓鱼连接的访问数量大约为10,000次。

                                                 PirateMatryoshka通过Pirate Bay的感染和传播手段

 

即使用户不输入登录凭证,感染进程仍会继续,恶意软件会释放其他恶意模块。这些模块包括恶意点击器,可以检查触发广告软件安装程序的“同意”按钮,启动广告软件的安装,在受害者设备上安装大量不请自来的软件。被安装的程序中,约有70%为广告软件,例如pBot,还有10%为恶意软件,能够将其他恶意软件安装到计算机上,例如其他木马下载器。

因此,PirateMatryoshka是一种结合了多种复杂功能的恶意软件,能够有效传播其自身以及其他恶意代码。

卡巴斯基实验室安全研究员Anton V. Ivanov表示:“我们经常发现多层恶意软件,例如释放器,还发现这些恶意安装程序能够在用户设备上安装超过一种程序。但是对PirateMatryoshka来说,其感染步骤更为复杂,因为通过广告软件到达受害者计算机的恶意软件可能会引入更多的安装程序,这些安装程序会带来更多恶意软件。考虑到这是一种非针对性的大规模攻击,还具备钓鱼模块以拓宽传播渠道,所以这种恶意软件是相当先进的”。

 

相关阅读

  • 04-11 TajMahal:拥有80个恶意模块和独特功能的罕见间谍平台
  • 04-03 2018年针对企业的恶意邮件的网络钓鱼攻击
  • 04-01 卡巴斯基反勒索软件工具保护企业免受色情恶意软件危害
  • 10-18 俄语APT组织共享恶意软件传播方案在亚洲的攻击目标出现重合
  • 08-24 AppleJeus:Lazarus使用macOS恶意软件攻击加密货币交易所