28/03/25
Последний фильм Disney о Белоснежке, оказался не только самым провальным проектом студии, но и источником новой угрозы в киберпространстве. Картина вызвала настолько слабый интерес, что не попала даже в библиотеку Disney+. Этим воспользовались киберпреступники, распространяя вредоносное ПО под видом пиратской копии фильма. Об этом пишет Securitylab.
По информации исследователей компании Veriti, злоумышленники разместили якобы безобидную торрент-ссылку на блог-площадке TeamEsteem, которая формально принадлежит американской организации, работающей с семьями и школами.
На первый взгляд, ссылка вела к обычной раздаче. Однако загруженный архив содержал не только видеофайл, но и текстовый файл README, а также подозрительное приложение с названием «xmph_codec.exe». В инструкции утверждалось, что без установки этого кодека — фильм не воспроизведётся. Подобные уловки были популярны в начале эры интернет-пиратства и продолжают работать на менее осторожных пользователей.
При запуске вредоносный файл запускает цепочку опасных действий. В первую очередь он отключает средства защиты Windows, включая встроенный антивирус и системы предотвращения угроз. Далее происходит установка дополнительного вредоносного ПО. Помимо этого, троянец загружает браузер TOR, через который устанавливает связь с сервером в даркнете по «.onion»-адресу.
Исследователи отметили, что торрент активно распространяется: на момент обнаружения файл раздавали 45 пользователей, часть из которых могли быть заражёнными машинами, автоматически поддерживающими раздачу. Это ускоряет распространение вредоносной кампании среди наивных пользователей.
Особую тревогу вызывает то, что вредоносная ссылка была размещена на сайте «TeamEsteemMethod[.]com», ранее никак не ассоциировавшемся с подобными схемами. По версии Veriti, взлом сайта был осуществлён либо через уязвимость CVE-2023-40680 в устаревшей версии популярного плагина Yoast SEO для WordPress, либо через украденные учётные данные администратора.
Сайт использовался как канал доверия, чтобы повысить шансы на скачивание вредоносного файла. Авторитет платформы, созданной для помощи родителям и педагогам, сыграл на руку киберпреступникам, сделав ссылку более убедительной.
