Троянская «Белоснежка»: как провальный фильм стал орудием хакеров

Последний фильм Disney о Белоснежке, получивший оценку 1,6 из 10 на IMDb , оказался не только самым провальным проектом студии, но и источником новой угрозы в киберпространстве. Картина вызвала настолько слабый интерес, что не попала даже в библиотеку Disney+. Этим воспользовались киберпреступники, распространяя вредоносное ПО под видом пиратской копии фильма.

По информации исследователей компании Veriti, злоумышленники разместили якобы безобидную торрент-ссылку на блог-площадке TeamEsteem, которая формально принадлежит американской организации, работающей с семьями и школами.

На первый взгляд, ссылка вела к обычной раздаче. Однако загруженный архив содержал не только видеофайл, но и текстовый файл README, а также подозрительное приложение с названием «xmph_codec.exe». В инструкции утверждалось, что без установки этого кодека — фильм не воспроизведётся. Подобные уловки были популярны в начале эры интернет-пиратства и продолжают работать на менее осторожных пользователей.

При запуске вредоносный файл запускает цепочку опасных действий. В первую очередь он отключает средства защиты Windows, включая встроенный антивирус и системы предотвращения угроз. Далее происходит установка дополнительного вредоносного ПО. Помимо этого, троянец загружает браузер TOR, через который устанавливает связь с сервером в даркнете по «.onion»-адресу.

Исследователи отметили, что торрент активно распространяется: на момент обнаружения файл раздавали 45 пользователей, часть из которых могли быть заражёнными машинами, автоматически поддерживающими раздачу. Это ускоряет распространение вредоносной кампании среди наивных пользователей.

Особую тревогу вызывает то, что вредоносная ссылка была размещена на сайте «TeamEsteemMethod[.]com», ранее никак не ассоциировавшемся с подобными схемами. По версии Veriti, взлом сайта был осуществлён либо через уязвимость CVE-2023-40680 в устаревшей версии популярного плагина Yoast SEO для WordPress, либо через украденные учётные данные администратора.

Сайт использовался как канал доверия, чтобы повысить шансы на скачивание вредоносного файла. Авторитет платформы, созданной для помощи родителям и педагогам, сыграл на руку киберпреступникам, сделав ссылку более убедительной.

Случаи распространения вредоносов под видом кино — не редкость. В прошлом аналогичные схемы использовались при выходе таких фильмов, как «Джон Уик 3», «Заражение», «Чёрная вдова», «Джокер», «Ford против Ferrari» и «Пираты Карибского моря». Преступники рассчитывают на высокий спрос и ограниченные легальные источники, чтобы заманить жертв.

Чтобы не попасться на подобные ловушки, специалисты рекомендуют избегать пиратского контента, использовать актуальные антивирусные решения и с подозрением относиться к ссылкам из неожиданно доверенных источников. Попытка бесплатно посмотреть фильм может обернуться весьма печальными последствиями.