Новый троянец охотится на любителей бесплатной музыки и фильмов

Новый троянец охотится на любителей бесплатной музыки и фильмов

Российский производитель антивирусного программного обеспечения «Доктор Веб» сообщил о распространении на ресурсах, предлагающих бесплатное прослушивание музыки, просмотр фильмов или игры в режиме online, нового вредоносного кода Trojan.Lyrics. Эта вредоносная программа создает массу проблем: в частности, демонстрирует назойливую рекламу и без ведома пользователя открывает в окне браузера веб-сайты сомнительного содержания.


В качестве потенциальных жертв авторы Trojan.Lyrics (оригинальное приложение может иметь различные наименования, например, AddLyrics, LyricsFinder, TheTubeSing, Lyricspal, Lyricstab, и т. д.) выбрали в первую очередь любителей музыки. С помощью этой программы меломаны якобы получат возможность воспроизвести любую композицию, размещенную на YouTube, с одновременным просмотром ее текста в виде титров, т. е. превратить просмотр видеоклипов в своеобразное караоке. Предложение скачать данную программу злоумышленники размещают на различных торрент-трекерах, музыкальных сайтах, или на страницах социальных сетей.

Trojan.Lyrics можно скачать и с нескольких официальных сайтов разработчиков троянца, но чаще эта программа скрытно устанавливается на компьютер вместе со свободным программным обеспечением, загруженным из Интернета. Создатели бесплатных приложений добавляют Trojan.Lyrics в дистрибутивы своих продуктов с целью получения дополнительной выгоды от демонстрации пользователю навязчивой рекламы, сообщает news.drweb.com.

В процессе инсталляции загруженной из Интернета программы пользователю якобы предоставляется возможность отключить установку рекламного компонента, однако на самом деле отключение невозможно. Запустившись на компьютере жертвы, Trojan.Lyrics реализует тот функционал, ради которого эта вредоносная программа, собственно, и была создана злоумышленниками: при открытии в окне браузера веб-сайтов на экране начинают появляться назойливые всплывающие окна, а также всевозможные рекламные сообщения, демонстрируемые в совершенно неожиданных местах веб-страниц.

Кроме того, при нажатии на различные ссылки троянец способен перенаправлять пользователя на сомнительные и мошеннические сайты. Некоторые из подобных веб-ресурсов замечены в распространении другого вредоносного ПО, в частности, поддельных антивирусов, детектируемых Dr.Web как представители семейства Trojan.Fakealert.

Фейковый 7-Zip превращал компьютеры в прокси-узлы для чужого трафика

Исследователи раскрыли новую группировку Lurking Lizard, которая несколько лет строила бизнес на вредоносных резидентских прокси. Проще говоря, злоумышленники заражали устройства пользователей и превращали их в прокси-узлы, через которые потом можно гонять чужой интернет-трафик.

Владелец устройства при этом мог даже не подозревать, что его домашний IP уже работает на чей-то мутный бизнес.

По данным Infoblox, активность Lurking Lizard прослеживается как минимум с августа 2022 года. Инфраструктура группировки включает более 230 доменов-двойников. Один из свежих примеров — кампания с троянизированным установщиком 7-Zip на домене 7zip[.]com. Пользователь думает, что качает архиватор, а на деле может записать своё устройство в прокси-ботнет.

Группировка не ограничивалась одним брендом. Lurking Lizard имитировала крупные прокси-сервисы, включая IPIDEA, SmartProxy, IP Royal и 911Proxy, а также запускала фейковые независимые сайты с обзорами, чтобы загонять трафик на собственные витрины.

 

Отдельный трюк — покупка истёкших доменов с уже накопленной репутацией. В ход шли и похожие адреса: например, 7zip[.]com вместо настоящего 7-zip[.]org. Однако инфраструктура Lurking Lizard использовалась не только для фейкового 7-Zip.

Исследователи нашли поддельные установщики WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), псевдоинструменты для скачивания TikTok и YouTube, а также WireVPN. Кампания цепляла пользователей Windows, macOS и Android. Одно Android-приложение под брендом WireVPN набрало более 1 млн загрузок, хотя неясно, насколько они были органическими.

Схема работает в два этапа: сначала жертв заманивают троянизированными установщиками, приложениями и сайтами-двойниками, а затем заражённые устройства продают как часть прокси-сети. В итоге чужой телевизор, ноутбук или смартфон может внезапно стать транспортом для подозрительного трафика, а проблемы прилетят владельцу IP.

RSS: Новости на портале Anti-Malware.ru