Los planes del investigador de seguridad bajo con el nombre de usuario de twitter. 0xffff0800 pasar una relajante noche de cine en casa no resultó como esperaba, ya que después de descargar una película de un torrente cargado en The Pirate Bay, encontró un tipo de malware nuevo (e interesante) que casi infecta su computadora.
¿Casi me infecté con una nueva muestra de CozyBear? Estaba descargando una nueva película que he estado esperando durante un tiempo para una versión HD. Así que hoy se ha subido una prometedora. Así que fui y lo descargué y exploré en busca de malware con dos motores … No surgió nada.
– 0xffff0800 (@ 0xffff0800) 11 de enero de 2019
Así que una vez que descargué y pensé que se veía extraño debido al ícono de la descarga AVI … lo revisé en un Editor Hex, y oh … Hay algún tipo de PowerShell … ¿WTF? Ponlo a través de Virustotal … ¡y qué sabes! CozyBear poniendo goteros en Hacker Movies Now ?! pic.twitter.com/o0yU7HWCtX
– 0xffff0800 (@ 0xffff0800) 11 de enero de 2019
La película descargada por el experto fue una copia de "The Girl in the Spider's Web", una película, como es lógico, con una temática hacker. En lugar de contener la película, la carpeta tenía un archivo con el nombre de la película y una extensión .lnk que, al abrirse, ejecutaba un comando malicioso que implementaba un inyector de anuncios en varios motores de búsqueda como Google y Yandex (una portal de búsqueda popular en Rusia y países vecinos).
Después de detectar la amenaza, 0xffff0800 compartió su descubrimiento en las redes sociales y cargó un ejemplo del archivo para que otros investigadores lo analizaran. Aparentemente, uno de los pasatiempos de este experto es "recolectar" malware.
Imagen de la muestra en sí, y aquí está la descarga para la muestra de todo. Contraseña: infectado. hxxps: //mega.nz/#! N80XUCza! rgQMgunzj8qHHlVDCypxBXNrNYa_ZE8oDk3LatADBwg disfrutar. pic.twitter.com/waE9G4iPbu
– 0xffff0800 (@ 0xffff0800) 11 de enero de 2019
La gente en Bleeping Computer echó un vistazo más de cerca al archivo, y sus hallazgos fueron más sorprendentes. El malware escondió mucho más de lo que parecía a simple vista.
La actividad maliciosa se extiende a otras páginas web, incluidos los resultados de búsqueda de Google y Yandex, y en las entradas de Wikipedia. "Otro objetivo es monitorear las páginas web para las direcciones de billetera de Bitcoin y Ethereum y reemplazarlas por otras que pertenezcan al atacante".
El objetivo principal de atacar a los motores de búsqueda es afectar los resultados para posicionar en los primeros lugares de los resultados una serie de páginas web con anuncios "inyectados".
Sin embargo, los atacantes no solo buscaban ganar dinero con los anuncios. El grupo de hackers que programaron el malware también lo codificó de tal manera que si la víctima visitara Wikipedia, el malware insertaría un botón de donación falso que muestra dos direcciones de billetera de Bitcoin y Ethereum disponibles para aquellos que deseen contribuir a la enciclopedia. Según Bleeping Computer, los hackers habían recaudado casi $ 700 en criptografía.
El uso de malware no es nuevo en la industria de la cadena de bloques; durante el año pasado, hubo un auge en el uso de este tipo de herramientas para obtener dinero a través de la minería de criptografía oculta. Monero (XMR) fue la cadena de bloques principal utilizada para esta práctica en 2017 y 2018.
Spanish
English
Russian
