Οι ερευνητές ασφαλείας της Symantec προειδοποιούν για μία εν εξελίξει malware distribution καμπάνιας που δείχνει ενδιαφέρον στην πειρατεία παιχνιδιών για να εγκαταστήσει PUAs (Potentially Unwanted Applications) στους υπολογιστές των χρηστών.
Η εταιρεία εντόπισε ιστοσελίδες που προσφέρουν δημοφιλή παιχνίδια προς λήψη σε μορφή ψεύτικου torrent αρχείου. Όταν οι χρήστες προσπάθησαν να κατεβάσουν αυτό το ψεύτικο αρχείο torrent, έλαβαν ένα μικρό script που προσπάθησε να εκτελεστεί αυτόματα.
Αυτό το αρχείο χρησιμοποιεί ένα εικονίδιο που μοιάζει με το κανονικό λογότυπο του uTorrent BitTorrent client, κάνοντας τους χρήστες να πιστέψουν ότι είναι ένα νόμιμο αρχείο torrent.
Υπό κανονικές συνθήκες, το script θα πρέπει να σταματήσει από το Windows UAC (User Access Control) σύστημα. Οι χάκερ πήραν προφυλάξεις κατά την παροχή οδηγιών πριν τη λήψη του script, λέγοντας στους χρήστες ότι θα πρέπει να επιτρέψουν την εκτέλεση του σεναρίου, παρά την προειδοποίηση UAC.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Εάν οι χρήστες του το επιτρέψουν, το script θα ανοίξει το πρόγραμμα περιήγησης του χρήστη, θα μεταβεί σε μια διεύθυνση URL και θα κατεβάσει ένα άλλο αρχείο.
Αυτό το αρχείο περιέχει το όνομα του παιχνιδιού που ο χρήστης προσπαθήσει να κατεβάσετε μέσω του torrent αρχείου, αλλά ήταν «πακεταρισμένο» ως αρχείο EXE.
Ως συνήθως, οι χρήστες με γνώσεις τεχνικών θεμάτων θα είχαν εντοπίσει κάτι λάθος με αυτή την torrent download ρουτίνα εδώ και πολύ καιρό, αλλά οι καμπάνιες αυτές δεν έχουν αυτούς ως στόχο.
Οι απατεώνες χρησιμοποιούν με επιτυχία αυτές τις τακτικές εναντίον των χρηστών με μικρότερη γνώση των σύγχρονων τεχνολογιών ή, στην προκειμένη περίπτωση, εκείνων που δεν είναι τακτικοί χρήστες του BitTorrent λογισμικού.
Η Symantec αναφέρει ότι το συγκεκριμένο αρχείο EXE που διανέμεται μέσω αυτής της πρόσφατης εκστρατείας εγκαθιστά PUAs στους υπολογιστές των χρηστών, με τη μορφή εφαρμογών που αλλάζουν την default μηχανή αναζήτησης του browser του χρήστη και εγκαθιστούν custom browsers που εισάγουν διαφημίσεις σε κάθε σελίδα.
Για την εκστρατεία αυτή, οι απατεώνες που χρησιμοποιούν θέλγητρα για παιχνίδια όπως τα World of Warcraft: Legion (Blizzard Entertainment), Assassin’s Creed Syndicate (Ubisoft), The Witcher 3: Wild Hunt (CD Projekt), Tom Clancy’s The Division (Ubisoft), Just Cause 3 (Square Enix) και The Walking Dead: Michonne (Telltale Games).
«Η Symantec πιστεύει ότι οι δράστες πίσω από αυτή την εκστρατεία προσπαθούν να μείνουν κάτω από το ραντάρ κάνοντας κατάχρηση των πολυάριθμων pay-per-install εταιρικών προγραμμάτων», εξηγεί η εταιρεία. «Αν και αυτή η εκστρατεία εξαπλώνει μόνο PUA downloaders, το ίδιο μοντέλο διανομής, μπορεί να χρησιμοποιηθεί και για την παροχή πρόσθετων κινδύνων ασφάλειας ή ακόμα και κακόβουλου λογισμικού.»
