Już przyzwyczailiśmy się do tego, że wirusy są dołączane do crack’ów oraz paczek oprogramowania, które obiecują instalację niedostępnych na daną platformę rozwiązań. Dlatego zawsze należy pobierać instalatory z zaufanych źródeł. Jednak francuski specjalista od bezpieczeństwa odkrył zbiór stron, które podszywają się pod oficjalne witryny i zachęcają do pobierania zmodyfikowanych instalatorów z adware InstallCore. 

Przestępcy znają różne sposoby na infekowanie naszych komputerów. Jedna z nich polega na zachęcaniu użytkowników do otwarcia zainfekowanych plików. Dobrym przykładem jest tutaj ransomware Petya, który rozprzestrzeniał się za pomocą załączników poczty e-mail. Hakerzy również często dołączają sygnatury wirusów do popularnych rozszerzeń dla przeglądarek (np. Flash Player). Wszystko po to, żeby ofiara z własnej woli otworzyła zainfekowany plik i zainstalowała wirusa. Z kolei Ivan Kwiatkowski, Francuzki specjalista zajmujący się bezpieczeństwem, odkrył cały zbiór stron, które podszywają się pod oficjalne witryny znanych programów. Oczywiście znajdują się na nich zainfekowane instalatory, które oprócz poszukiwanego programu posiadają również adware InstallCore.

Adware InstallCore jest często używane do przemycania szkodliwych aplikacji

InstallCore samo z siebie nie jest wirusem. Jest to prosty w obsłudze instalator, który często jest używany do promowania instalacji dodatkowych aplikacji. Przykładowo może on zostać użyty do reklamowania pakietu antywirusowego za pomocą linku polecającego. W ten sposób osoba, która przygotowała zmodyfikowany plik instalacyjny, będzie otrzymywać finansowy bonus za każdą instalację promowanego programu. Jednak przestępcy zaczęli korzystać z InstallCore do przemycania szkodliwych aplikacji. Dlatego rozszerzenie to jest aktualnie rozpoznawane przez programy antywirusowe, jako potencjalnie niebezpieczne.

Ivan Kwiatkowski ostrzega przed następującymi stronami:

keepass.fr
7zip.fr
inkscape.fr
gparted.fr
clonezilla.fr
paintnet.fr
greenshot.fr
scribus.fr
audacity.es
stellarium.fr
celestia.fr
celestia.es
azureus.es
clonezilla.es
inkscape.es
paintnet.es
handbrake.es
gimp.es
thunderbird.es
unetbootin.org
unetbootin.net
notepad2.com
keepass.com

Wszystkie powyższe serwisy znajdują się na tym samym serwerze, więc za całą sprawę odpowiedzialna jest ta sama osoba lub grupa. Dodatkowo znajduje się na nim również kilka witryn, które nie zawierają zmodyfikowanych instalatorów:

audacity.fr
filezilla.fr
truecrypt.fr
blender3d.fr
grooveshark.fr
adblock.fr
qbittorrent.com

Wszystkie powyższe witryny zostały przygotowane w taki sposób, żeby podszyć się pod oficjalne strony poszczególnych programów. Co prawda nie wszystkie wyglądają tak samo, jak pierwowzory. Jednak kto z Was regularnie odwiedza strony na co dzień używanych programów i pamięta ich layout?

Źródło: BleepingComputer

Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.