Игра на слабостях. Как хакеры распространяют вирусы через порно

Пять историй про заражение компьютеров вирусами через порноконтент

Depositphotos
Порно всегда было и остается излюбленной темой для киберпреступников. Начиная с 90-х годов, хакеры и мошенники активно эксплуатируют контент категории «18+» для взлома компьютеров и кражи денег. По словам экспертов по информационной безопасности, порно – это идеальная основа для обмана, поскольку желание получить доступ к пикантному видео буквально ослепляет некоторых людей и заставляет их выполнять практически любые действия. «Газета.Ru» рассказывает про пять случаев, когда хакеры успешно атаковали людей, играя на их инстинктах.

Его звали Melissa

Одна из первых хакерских атак, эксплуатирующих тему порно, случилась в США еще в 1999 году. Программист Дэвид Ли Смит взломал корпоративную сеть крупнейшего на тот момент американского интернет-провайдера America Online и от имени компании разослал миллионам клиентов файл «alt.sex». Описание гласило, что, открыв файл, пользователь получит пароли для доступа к десяткам платных порносайтов.

Как только файл активировался, запускался Microsoft Word, и на компьютер загружался вирус Melissa, названный Смитом в честь любимой стриптизерши. Проникая в компьютер, Melissa от имени жертвы начинала рассылать аналогичные фишинговые письма с вирусными «порновложениями» — по 50 новых адресов с каждой жертвы.

Хотя вирус был скорее хулиганским, нежели вредоносным, он нанес заметный ущерб.

В какой-то момент писем от Melissa стало настолько много, что работа электронной почты оказалась парализована более чем в 300 компаниях и правительственных организациях – серверы не справлялись с нагрузкой.

Для борьбы с киберэпидемией Microsoft пришлось временно отключить около одного миллиона учетных записей в Outlook. К расследованию инцидента было подключено ФБР. Специалисты оценили ущерб от простоя и ремонта систем по всей Америке в $80 млн.

Начальник отдела аудита ИБ в компании T.Hunter Владимир Макаров сказал «Газете.Ru», что Melissa был типичным для конца 90-х и начала 00-х «червем» (тип вредоносного ПО, целью которого является автоматическое распространение, – прим. ред.).

«Старые вирусы часто писались энтузиастами «по приколу» и лишь иногда с целью получения выгоды. Сейчас так почти никто не делает», – отметил специалист.

По словам Макарова, сегодня в большинстве случаев целью вредоносов, распространяющихся через порноконтент, является монетизация посредством, например, шантажа жертвы.

Роковое обновление

По словам эксперта по информационной безопасности из крупной российской компании, пожелавшего остаться анонимным, тема 18+ является вечно актуальной среди злоумышленников, поскольку она гарантированно ослабляет «иммунитет» людей к социальной инженерии. Эксперт считает, что зачастую люди посещают порносайты в особом настроении, чем хакеры охотно пользуются.

«В своем стремлении скорее получить желаемый взрослый контент пользователь не обращает внимания на подозрительные активности, предложения. Сайты для взрослых – это типичная платформа для исполнения атаки типа «водопой» (watering hole). Атакующий ожидает посетителей и заранее может подготовить вредоносный баннер, ссылку, ведущую на эксплойт, или предложить воспользоваться подставной программой для просмотра», – объяснил эксперт.

В качестве примера такого сценария специалист привел случай от 2017 года с сайтом PornHub и вирусом Kovter. Хакеры из группы KovCoreG взломали рекламного партнера популярного сайта для взрослых и запустили на нем вредоносные баннеры. Перед запуском видео они требовали загрузить обновление для браузера Chrome или Adobe FlashPlayer. Соглашаясь, жертва скачивала упомянутый выше вирус.

Kovter, как и Melissa, оказался относительно безобидным зловредом. Он не крал пароли и не блокировал компьютер, а только скрыто открывал браузер и кликал рекламу по всему интернету. По словам специалистов из компании Proofpoint, которые обнаружили Kovter, авторы вируса зарабатывали на том, что продавали рекламные просмотры «реальных» пользователей.

За несколько месяцев Kovter заразил миллионы пользователей в США, Канаде, Великобритании и Австралии.

«Вскрытая» камера

История с вирусом Varenyky отлично бы подошла для сценария к серии «Черного зеркала». В 2019 году вредонос распространялся в виде файла Microsoft Word через фишинговые письма, которые эксплуатировали тему порно или быстрого заработка. Проникая на компьютер, вирус ничего не делал до тех пор, пока жертва не переходила на PornHub или Brazzers.

Как только пользователь переходил на сайт для взрослых, на компьютере включалась веб-камера и запись с экрана. Полученные клипы отправлялись на серверы злоумышленников.

Они использовали компромат для последующего шантажа жертв и вымогательства денег.

Количество пострадавших от вируса Varenyky неизвестно. Однако сообщается, что вирус был нацелен только на пользователей из Франции.

Рекламная пауза

Иной раз посетитель сайта для взрослых может пострадать от киберпреступников, даже ничего не скачивая – достаточно соблазниться рекламой интересного контента на любимом сайте и перейти по ссылке.

В 2020 году группа хакеров Malasmoke взломала рекламную платформу сайта с миллиардной аудиторией xHamster (заблокирован на территории РФ, – прим. ред.) и загрузила на него баннеры с гиперссылками, уводящими людей на вредоносные порноресурсы, созданные злоумышленниками «на коленке».

Пока пользователи потребляли привычный контент, фоном на их компьютеры через Internet Explorer скачивалась целая пачка вредоносных программ.

Самыми опасными вирусами, которые успели «поселиться» на компьютерах посетителей xHamster, стали популярный бэкдор (программа для удаленного скрытого доступа, – прим. ред.) Smoke Loader, похититель паролей Raccoon Stealer, а также программа для подключения устройств к ботнету (сеть зараженных устройств, которая используется злоумышленниками преимущественно для DDoS-атак, – прим. ред.) ZLoader.

Двойное надувательство

В октябре 2022 года специалисты по информационной безопасности из компании Cyble обнаружили целую группу вредоносных файлов, которые распространяются через фейковые порноресурсы под видом пикантных видео и картинок. Ссылки на сайты-ловушки, как правило, злоумышленники оставляют на сервисах онлайн-знакомств.

Все обнаруженные вирусы объединяет то, что после заражения они шифруют файлы на компьютере и требуют с жертвы выкуп в размере от $300 до $600 (в биткоинах) за восстановление доступа. Если не сделать этого в течение семи дней, хакеры обещают удалить с жесткого диска все данные.

Специалисты Cyble настоятельно не рекомендуют поддаваться шантажу. Анализ зашифрованных вирусами данных показал, что они попросту не подлежат восстановлению. То есть, даже если жертва заплатит вымогателям, вернуть доступ к файлам не получится.

В отчете Cyble пишет, что практика, когда зашифрованные данные не удается восстановить, не является чем-то из ряда вон выходящим, однако «честные» хакеры на такие случаи делают резервные копии зараженных компьютеров. В этот же раз, уверены в Cyble, хакеры ничего не копируют, а просто портят все файлы.