Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Pirate Matryoshka: троян-матрешка в пиратской бухте

Pirate Matryoshka: троян-матрешка в пиратской бухте

Анализируем зловред Pirate Matryoshka, или Почему даже заядлым пиратам не стоит качать взломанный софт с торрент-трекеров.

Борьба с торрентами идет уже так давно, что любая попытка предупредить о какой-то угрозе с их стороны наталкивается на стену недоверия: опять, дескать, правообладатели придумывают байки. Нет, не байки. Ну ладно, они тоже, но не всегда. Разберем одну такую «не байку» на примере условного Андрея, которому позарез потребовалось скачать что-то с торрент-трекера.

Если Андрей использует торренты чтобы сэкономить, то люди с более низкой социальной ответственностью пользуются ими для заработка на Андрее. Например, с помощью схемы, которую мы недавно выявили на известном трекере ThePirateBay, где злоумышленники создали множество клонов раздач взломанного ПО, заменив в них исходные файлы своими, зловредными.

Как работает Pirate Matryoshka: торрент-зловред с Pirate Bay

Когда Андрей запускает файл, подмененный злоумышленниками, инсталлятор первым делом показывает ему окно авторизации на трекере. Если наш герой принимает это за чистую монету и вводит свои логин и пароль, они отправляются прямиком к авторам вредоноса – и теперь уже аккаунт Андрея будет использоваться для создания фейковых раздач (таким образом, выявить подделку, основываясь только на возрасте учетной записи, невозможно).

Зловред Pirate Matryoshka показывает фишинговые окна для кражи логинов и паролей от аккаунтов на Pirate Bay

С помощью таких окон «авторизации» злоумышленники крадут данные для доступа к аккаунту пользователя и затем используют его для создания фейковых раздач

Но источник дохода злоумышленников вовсе не в угоне учетных записей – их заработок строится на участии в партнерских программах, где деньги выплачиваются за каждый факт установки на компьютер жертвы определенных приложений. Поэтому вместе с нужным софтом на компьютер Андрея установится дополнительное ПО. Много дополнительного ПО.

Несмотря на то, что оно не всегда вредоносное (по нашим подсчетам, настоящие зловреды встречаются в каждом пятом случае), пользователю от этого не легче. Отныне Андрею придется бороться с полчищами приложений-оптимизаторов, кишащих рекламой, тулбарами в браузерах, меняющими домашнюю страницу и добавляющими свои баннеры на каждый сайт, а если «повезет», то и с троянами.

Pirate Matryoshka устанавливает на компьютер пользователя огромное количество мешающих приложений, иногда даже зловредных.

Результат работы установщика партнерских программ

Надо сказать, что если бы Андрей запустил подобный файл, скачанный откуда-то еще, у него был бы шанс: несмотря на нахождение в «серой зоне», авторы инсталляторов партнёрских программ все-таки оставляют пользователю возможность отказаться от установки лишних приложений. Правда, такую опцию нужно еще постараться найти:

Вместе с искомой программой на ваш компьютер будет установлено множество дополнительного ПО. В случае с Pirate Matryoshka от этого невозможно отказаться.

Видите «Дополнительные параметры» в углу? Они скрывают вагон и маленькую тележку дополнительного ПО, которое установится на ваш компьютер.

Но в случае с заразой с ThePirateBay, которую мы назвали PirateMatryoshka за некоторые особенности работы, такой фокус не пройдет: перед началом установки зловред запускает автокликеры — модули, которые автоматически проставят галочки в нужных окнах, не давая жертве отказаться от установки софта.

Заключение

Если вы качаете что-либо с торрентов, будьте готовы встретить там зловредов. Особенно это касается программного обеспечения, где от исполняемых файлов точно никуда не деться.

Впрочем, было бы наивно полагать, что, не связываясь с торрентами и не используя взломанный софт, вы наверняка избежите Андреевой участи. «Партнерский инсталлятор» можно встретить где угодно – и надо либо бояться всех исполняемых файлов, скачанных из Интернета, как огня, либо иметь наготове надежный антивирус. Например, Kaspersky Internet Security умеет обнаруживать все части Pirate Matryoshka и нейтрализовывать их.


Источник: Лаборатория Касперского

07.03.2019