Как лайфхакер помогает вирусы распространять
Понадобилась мне читалка для формата FB2 на компьютер. Что ж, забил в поиск и попал на статью лайфхакера: "5 полезных утилит для чтения FB2-книг на компьютере". Почитал, оценил и остановил свой выбор на STDU Viewer, так как программа для некоммерческого использования полностью бесплатна. Особо искать не пришлось. Лайфхакер предоставляет ссылки для скачивания после каждого продукта.
Нам предлагают перейти на официальный сайт для скачивания программы. Если навести на текст со ссылкой, то нас пригласят на: http://www.stduviewer.ru/download.html
После перехода по ссылке в строке браузера она меняется на: https://getstduviewer.ru/download.html и сайт:
Здесь нам предлагают скачать версию для установки и ниже портативную версию. Я выбрал портативную (как оказалось, разницы нет. Обе кнопки предлагают скачать одинаковый файл). Появилось окно для сохранения файла и его название: stduviewer_id926189ids3s
Небольшие файлы из подозрительных мест я всегда стараюсь проверять на вирустотале. Этот раз был не исключением и удивил меня. 34 обнаруженные угрозы!
Чтобы не говорили, что файлы разные, сверим хэш-суммы. Вирустотал насчитал по sha256 2b4743424c5ffa612ebb279e2ad7d72a3dd9a9ec13231f52fd26f52dee61822f
Хэш-таб насчитал по sha256 аналогичную.
Тут я понял, что пахнет жареным фишингом. Забил в яндекс название программы. Первая ссылка - официальный сайт (вики подтверждает). А вторая ссылка очень знакомая, хм... Ну да, точно, ведёт в знакомое место. Так же и размер файлов программы разный. Скачанный файл всего 704 КБ, а с официального сайта для портативной версии 3 МБ.
Посмотрим, что говорит whois про домен getstduviewer.ru. Домен зарегистрирован 2019-12-22, частное лицо. Обычный фишинг.
Какой итог? Будьте бдительны и всегда проверяйтесь. Ресурсы с громкими именами не дают никакой гарантии вашей безопасности, когда вы переходите по ссылкам, размещенными под их флагом.