RAUM arma los torrents más populares para difundir malware malicioso

La empresa de seguridad revela la herramienta de red de torrents maliciosos

Black Team, un sindicato de cibercriminales de Europa del Este, ha reconocido una enorme red subterránea maliciosa, que es capaz de armar archivos torrent populares para difundir malware.

Esta red de cibercrimen subterránea llamada RAUM fue descubierta por la firma de seguridad estadounidense InfoArmor, quien dijo que RAUM se utilizó en campañas activas para difundir malware a través de torrents.

Los investigadores de InfoArmor descubrieron que RAUM se ha utilizado para esencialmente “armar” torrents para difundir una variedad de tipos de ransomware, incluyendo CryptXXX, CTB-Locker y Cerber, el troyano de banca en línea Dridex y el spyware que roba contraseñas Pony.

“RAUM es un sistema especial desarrollado por los propietarios de la red maliciosa subterránea identificada, utilizado para dos cosas: análisis de archivos torrent en tendencia en rastreadores de torrents con un alto número de descargas, y posterior reempaquetado de estos archivos con malware para su distribución posterior. El sistema sube el archivo torrent final armado a los mismos rastreadores bajo varias cuentas de usuario robadas, teniendo buena reputación allí,” dijo Andrew Komarov, CIO de InfoArmor, en un correo electrónico.

Una vez que el rastreador de torrents identifica el contenido más popular que se está descargando en ese momento, se inserta malware en los archivos torrent analizados, y el archivo armado se coloca para su distribución posterior a través de sitios torrent populares como PirateBay, ExtraTorrent y TorrentHound.

“Más tarde, los suben a los mismos rastreadores, y otros rastreadores, utilizando credenciales robadas de ‘seeders’, que tienen buena reputación en ellos, ya que ayuda a que sus archivos se distribuyan mejor. De esta manera, infectan a un gran número de usuarios sistemáticamente,” agregó Komarov.

Según los investigadores, “Los actores de amenazas estaban monitoreando sistemáticamente el estado de las semillas maliciosas creadas en famosos rastreadores de torrents como The Pirate Bay, ExtraTorrent y muchos otros.

“En algunos casos, estaban buscando específicamente cuentas comprometidas de otros usuarios en estas comunidades en línea que fueron extraídas de registros de botnets para usarlas como nuevas semillas en nombre de las víctimas afectadas sin su conocimiento, aumentando así la reputación de los archivos subidos.”

“Hemos identificado más de 1,639,000 registros recopilados en los últimos meses de las víctimas infectadas con varias credenciales para servicios en línea, juegos, redes sociales, recursos corporativos y datos exfiltrados de la red descubierta,” añadieron.

La herramienta RAUM ha sido distribuida exclusivamente a actores de amenazas solo por invitación, quienes luego distribuyen malware a través de torrents basados en un modelo de pago por instalación (PPI). Cuantas más veces se instale el malware sin que el usuario lo sepa, más dinero recibirá el cibercriminal.

Considerando cuán importante es la confianza en la comunidad de torrents, si los principales cargadores fueran comprometidos, la distribución de malware podría aumentar exponencialmente.

“En algunos casos, la vida útil de estos archivos maliciosos sembrados superó los 1.5 meses y resultó en miles de descargas exitosas,” dice InfoArmor.

Los objetivos más populares son los juegos en línea basados en PC y archivos de activación (a diferencia de archivos de video y música) para sistemas operativos que incluyen Microsoft Windows y Apple Mac OS.

“Todas las semillas maliciosas creadas fueron monitoreadas por cibercriminales para prevenir la detección temprana por [software antivirus] y tenían diferentes estados como ‘cerrado’, ‘vivo’ y ‘detectado por antivirus.’ Algunos de los elementos identificados de su infraestructura estaban alojados en la red TOR,” explica InfoArmor.

Los usuarios deben tener extrema precaución al visitar sitios de descarga de torrents, o al descargar archivos pirateados, recomienda el equipo de InfoArmor. Como medida de precaución adicional, sugerimos a los usuarios que se abstengan de instalar cualquier software de fuentes no confiables, independientemente de dónde se encuentren en línea.