Nhash: мелкие шалости с большими финансами.

Бесплатный сыр.

Экспертами был обнаружен ряд похожих друг на друга сайтов, предлагавших посетителям скачать разнообразное бесплатное ПО. При этом если на части ресурсов предлагалось загрузить на самом деле бесплатные приложения (например, OpenOffice), то в остальных случаях жертв заманивали «бесплатными» программными пакетами Adobe Premiere Pro, CorelDraw, PowerPoint и др. При этом с точки зрения жертв они были действительно бесплатны: не требовали ключей активации и сразу начинали работать.

Кроме того, чтобы сбить жертву с толку, мошенники использовали доменные имена, похожие на «настоящие»: thefinereader.ru, theopenoffice.ru и т.п.

Объединяло все приложения одно:

Вместе с ними на компьютер устанавливалась специально сконфигурированная версия программы для майнинга криптовалют от проекта NiceHash.

Все сайты построены по одному шаблону, менялось только описание продуктов и ссылки на скачивание.

Монетки любой ценой.

Майнер от NiceHash детектируется продуктами «Лаборатории Касперского» как not-a-virus:RiskTool.Win64.BitCoinMiner.cgi, и согласно классификации не является вредоносным. По данным KSN с таким вердиктом детектируются около 200 файлов.

Для исследования мы выбрали файл FineReader-12.0.101.382.exe (который был получен с теперь уже недоступного ресурса thefinereader.ru и, по заверениям авторов сайта, является «бесплатной полной версией» ПО от компании ABBYY.

Надо сказать, взломанная версия без встроенного майнера давно обитала на просторах интернета внутри torrent-раздач:

Исполняемый файл представляет собой установочный пакет Inno Setup, распаковав который можно обнаружить набор папок с программным обеспечением и его ресурсами, а также скрипт, описывающий процедуру установки. На скриншоте ниже корневая директория инсталлятора:

Нас интересует директория с названием {app} так как там и находится устанавливаемое ПО. Внутри — «портативная» версия FineReader:

А в директории lib можно обнаружить подозрительные файлы:

Среди файлов есть упомянутый выше майнер NiceHash. Также в папке есть текстовые файлы, которые содержат информацию для инициализации майнера — кошелек и адрес пула. Эта директория будет скрытно скопирована на компьютер пользователя во время установки FineReader.

Также мы обнаружили другой вид скрытых манеров, использующий несколько отличающуюся логику работы.

Это всё тот же пакет установки Inno Setup, но если обратить внимание на содержимое, можно обнаружить множество ярлыков:

Заглянем внутрь:

Классика жанра – ярлыки разбрасываются по системе и при открытии пользователем, запускают майнер. В «комплекте поставки» есть утилита, TrayIt!, которая спрячет окно майнера от пользователя, свернув его в системный трей. При этом данный майнер не получает никаких данный с сервера, а работает с теми кошельками и пулами, которые были «зашиты» в него злоумышленниками.

Заключение.

Исследование лишний раз подтверждает тот факт, что не стоит пренебрегать защитными мерами, теша себя мыслью, что киберпреступникам интересны, в первую очередь, финансовые организации: под удар попадают и рядовые пользователи. И хотя рассмотренное нами ПО неспособно нанести какой-либо урон, оно может серьезно снизить производительность рабочей станции, заставив компьютер работать не на своего хозяина.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.

Изнанка - Канал, раскрывающий тайны необычных и редких профессий. Если вы хотите знать секреты специалистов в необычных областях, будь-то патологоанатом или переворачивателем пингвинов, советуем заглянуть.