Uwaga na zainfekowane torrenty na popularnych trackerach

dodał 22 września 2016 o 06:32 w kategorii Złośniki  z tagami:
Uwaga na zainfekowane torrenty na popularnych trackerach

Jeśli nigdy nie pobraliście pirackiej gry czy programu i nie planujecie robić tego w przyszłości, to możecie spać spokojnie. Pozostałym amatorom piractwa chcieliśmy zasygnalizować, że oprócz organów ścigania polują na nich zorganizowani przestępcy.

Cyberprzestępcy nieustannie szukają lepszych metod infekowania swoich ofiar. Wysyłanie plików pocztą elektroniczną, pobieranie przez błędy w przeglądarkach czy zwykłe sztuczki inżynierii społecznej są dość popularne, jednak nie są to jedyne metody dystrybucji. Coraz większą popularność zyskują także zainfekowane pliki dystrybuowane w sieciach p2p, a zorganizowane grupy przestępcze dysponują specjalnymi narzędziami ułatwiającymi im masowe infekowanie internautów.

RAUM, czyli automat do dystrybucji złośliwych plików

Firma InfoArmor opisała ciekawe narzędzie stosowane przez przestępców. Jest to platforma dedykowana do zarządzania procesem infekcji użytkowników sieci torrent. Pierwszym jej elementem są automaty monitorujące popularność poszczególnych torrentów zawierających pliki wykonywalne. Te najszybciej zyskujące kolejnych amatorów pobierania są typowane do procesu infekcji. Pobrane dane są wzbogacane dodatkowym, złośliwym oprogramowaniem i udostępniane pod podobnymi lub identycznymi nazwami. Przestępcy dysponują rozbudowaną siecią serwerów zapewniających szybkie udostępnianie zainfekowanych paczek a swoje produkcje umieszczają na najpopularniejszych trackerach. Ostatnim etapem jest monitorowanie poziomu wykrywalności złośliwego oprogramowania przez antywirusy – gdy poziom jest zbyt wysoki paczka jest porzucana i zasoby są przenoszone na inne pliki.

Panel platformy

Panel platformy

Oprócz swoich własnych kont zakładanych w różnych serwisach przestępcy często wykorzystują także konta wykradzione innym użytkownikom, korzystając z wypracowanej przez nich reputacji. Autorzy opracowania szacują liczbę zainfekowanych użytkowników na dziesiątki tysięcy. Jako że paczki i konta je publikujące często się zmieniają nie mamy możliwości by wskazać Wam metodę identyfikacji zainfekowanych plików, zatem zalecamy daleko posuniętą ostrożność.

Teraz Polska

Warto także zauważyć, że nie jest to metoda unikatowa ani szczególnie nowatorska. Była ona stosowana już wiele miesięcy temu na polskim rynku. Specjalizował się w niej autor słynnego Banatrixa. Źródło Banatrixa długo umykało badaczom – w końcu okazało się, że jednym z kanałów dystrybucji były zainfekowane pliki w serwisach torrentowych. Autor kampanii pobierał popularne pirackie oprogramowanie (np. Photoshop, Tibia czy Nero), do każdego pliku EXE doklejał swój kawałek kodu i – prawdopodobnie cudzymi rękoma – propagował w sieci na popularnych serwisach torrentowych.  Podobną strategię zastosował inny przestępca – przygotował ćwierć miliona zainfekowanych plików EXE i umieścił je w serwisie Chomikuj.pl.

Taka metoda dystrybucji złośliwego oprogramowania ma ogromne zalety. Trudno jest znaleźć źródło infekcji – w przeciwieństwie do wiadomości poczty elektronicznej najczęściej po pobranym pliku nie pozostaje trwały ślad umożliwiający identyfikację skąd koń trojański pojawił się na komputerze. Na dodatek użytkownicy niechętnie przyznają się do pobierania i instalowania pirackiego oprogramowania. Jest także trzeci czynnik – infekowanie dużych plików wykonywalnych (np. powyżej 100 MB) uniemożliwia ich skanowanie za pomocą większości serwisów online. Wygląda zatem na to, że przestępcy mogą przez przypadek osiągnąć cel, którego nie udało się do tej pory zrealizować firmom programistycznym ani organom ścigania, czyli zredukować liczbę pobrań pirackiego oprogramowania z torrentów.