RAUM nutzt die beliebtesten Torrents, um bösartige Malware zu verbreiten

Sicherheitsfirma enthüllt das bösartige Torrent-Netzwerk-Tool

Das Black Team, ein osteuropäisches Cybercrime-Syndikat, hat ein riesiges unterirdisches bösartiges Netzwerk erkannt, das in der Lage ist, beliebte Torrent-Dateien zu nutzen, um Malware zu verbreiten.

Dieses unterirdische Cyberkriminalitätsnetzwerk namens RAUM wurde von der US-Sicherheitsfirma InfoArmor entdeckt, die sagte, dass RAUM in aktiven Kampagnen zur Verbreitung von Malware über Torrents verwendet wurde.

Forscher von InfoArmor entdeckten, dass RAUM verwendet wurde, um Torrents im Wesentlichen zu „waffenisieren“, um eine Vielzahl von Ransomware-Typen zu verbreiten, darunter CryptXXX, CTB-Locker und Cerber, den Online-Banking-Trojaner Dridex und das Passwort-stehlende Spyware Pony.

„RAUM ist ein spezielles System, das von den Eigentümern des identifizierten unterirdischen bösartigen Netzwerks entwickelt wurde, das für zwei Dinge verwendet wird – die Analyse von trendenden Torrent-Dateien auf Torrent-Trackern mit einer hohen Anzahl von Downloads und das weitere Repacken dieser Dateien mit Malware zur weiteren Verbreitung. Das System lädt die endgültige waffenisierte Torrent-Datei unter verschiedenen gestohlenen Benutzerkonten mit gutem Ruf auf denselben Trackern hoch“, sagte Andrew Komarov, CIO von InfoArmor, in einer E-Mail.

Sobald der Torrent-Tracker die beliebtesten Inhalte identifiziert, die zu diesem Zeitpunkt heruntergeladen werden, wird Malware in die analysierten Torrent-Dateien eingefügt, und die waffenisierte Datei wird dann zur weiteren Verbreitung über beliebte Torrent-Seiten wie PirateBay, ExtraTorrent und TorrentHound platziert.

„Später laden sie sie auf denselben Trackern und anderen Trackern hoch, indem sie gestohlene Anmeldedaten von ‚Seedern‘ verwenden, die einen guten Ruf haben, da dies hilft, ihre Dateien besser zu verbreiten. Auf diese Weise infizieren sie systematisch eine große Anzahl von Benutzern“, fügte Komrarov hinzu.

Laut den Forschern „überwachten Bedrohungsakteure systematisch den Status der erstellten bösartigen Seeds auf berühmten Torrent-Trackern wie The Pirate Bay, ExtraTorrent und vielen anderen.

„In einigen Fällen suchten sie gezielt nach kompromittierten Konten anderer Benutzer in diesen Online-Communities, die aus Botnet-Protokollen extrahiert wurden, um sie für neue Seeds im Namen der betroffenen Opfer ohne deren Wissen zu verwenden, wodurch der Ruf der hochgeladenen Dateien erhöht wurde.“

„Wir haben in den letzten Monaten über 1.639.000 Datensätze von den infizierten Opfern mit verschiedenen Anmeldedaten zu Online-Diensten, Spielen, sozialen Medien, Unternehmensressourcen und exfiltrierten Daten aus dem aufgedeckten Netzwerk gesammelt“, fügten sie hinzu.

Das RAUM-Tool wurde ausschließlich auf Einladung an Bedrohungsakteure verteilt, die dann Malware über Torrents basierend auf einem Pay-per-Install (PPI)-Modell verbreiten. Je öfter die Malware unwissentlich von einem Benutzer installiert wird, desto mehr Geld erhält der Cyberkriminelle.

Angesichts der Bedeutung des Vertrauens in der Torrent-Community könnte die Malware-Verbreitung exponentiell zunehmen, wenn große Uploader kompromittiert werden.

„In einigen Fällen überschritt die Lebensdauer dieser gesäten bösartigen Dateien 1,5 Monate und führte zu Tausenden von erfolgreichen Downloads“, sagt InfoArmor.

Die beliebtesten Ziele sind PC-basierte Online-Spiele und Aktivierungsdateien (im Gegensatz zu Video- und Musikdateien) für Betriebssysteme wie Microsoft Windows und Apple Mac OS.

„Alle erstellten bösartigen Seeds wurden von Cyberkriminellen überwacht, um eine frühzeitige Erkennung durch [Antivirus-Software] zu verhindern, und hatten verschiedene Status wie ‚geschlossen‘, ‚lebendig‘ und ‚von Antivirus erkannt‘. Einige der identifizierten Elemente ihrer Infrastruktur wurden im TOR-Netzwerk gehostet“, erklärt InfoArmor.

Benutzer sollten extreme Vorsicht walten lassen, wenn sie Torrent-Download-Seiten besuchen oder raubkopierte Dateien herunterladen, empfiehlt das Team von InfoArmor. Als zusätzliche Vorsichtsmaßnahme würden wir den Benutzern raten, die Installation von Software aus untrusted Quellen zu vermeiden, unabhängig davon, wo sie online gefunden werden.