Kit de exploração do Fiesta: ataca visitantes do Torrent com ransomware

ransomware

Ataques de ransomware: O site de compartilhamento de arquivos SubTorrents, altamente considerado na Espanha e na América Latina, infecta insidiosamente seus usuários com Trojan, com sua ajuda Kit de exploração Fiesta.

Quando alguém visita o site, é redirecionado sem saber para uma carga maliciosa.

Além da natureza ilegal de atividades, como baixar músicas e filmes dos sites da Torrents, em alguns países, muitos sites que promovem esse material são preenchidos com anúncios enganosos que visam enganar o usuário na execução de programas maliciosos que podem ocultar muitos perigos.

“Tomar torrents ilegais é perigoso. Além de arquivos falsos, os usuários devem navegar por um mar de anúncios enganosos e pop-ups. diz Jerom Segura, chefe de pesquisa de segurança do Malwarebytes Labs, em um post do blog.

Dadas as grandes quantidades de tais anúncios no site SubTorrents, seria razoável suspeitar que algo de ruim está acontecendo. Mas, no final, o próprio site foi comprometido e está “servindo” a seus usuários um iframe bem escondido.

Segundo Segura, o hacker que causou o dano encontrou algum prazer em complicar as coisas. Em vez de introduzir diretamente um iframe malicioso no desembarque do kit de exploração, ele optou por criá-lo em tempo real, recuperando conteúdo do exterior .js.

O ataque também envolveu a colocação de um cookie no computador do usuário, que verifica o código no início do ataque. Segura enfatizou que é uma maneira simples de “marcar” um PC que já foi atacado e provavelmente está infectado, para que não seja necessário nenhum esforço ao tentar atacá-lo novamente.

Quanto à carga, Segura diz que parece Kovter ransomware e golpes maliciosos de anúncios. Kovter foi descoberto em 2013 e esta é a variante específica ransomware normalmente segmenta visitantes para sites adultos ilegais. Ele bloqueia o telefone ou PC e exibe uma mensagem dizendo que o usuário violou a lei e terá que pagar uma multa à polícia por desbloquear o dispositivo.

Para tornar a ameaça mais realista, o ransomware Kovter verifica o histórico do navegador do usuário em busca de conteúdo relevante e exibe um em uma tela inicial. Essa união não é nova, já vimos antes Festa DE para promover o malware Kovter.

Segura acrescenta: “Os visitantes dos sites de Torrent podem economizar aparentemente pouco dinheiro, mas correm muito mais riscos, como infectar seu computador com malware”. o Ransomware é muito comum e significa que os arquivos do usuário são criptografados (incluindo vídeos de músicas baixados) para que não possam ser acessados ​​até que o “resgate” seja pago.