RAUM arme les torrents les plus populaires pour propager des logiciels malveillants

Une entreprise de sécurité révèle l’outil de réseau de torrents malveillants

Black Team, un syndicat de cybercriminalité d’Europe de l’Est, a reconnu un énorme réseau souterrain malveillant, capable d’armer des fichiers torrent populaires pour propager des logiciels malveillants.

Ce réseau de cybercriminalité souterrain nommé RAUM a été découvert par la société de sécurité américaine InfoArmor, qui a déclaré que le RAUM était utilisé dans des campagnes actives pour propager des logiciels malveillants via des torrents.

Les chercheurs d’InfoArmor ont découvert que RAUM a été utilisé pour essentiellement « armer » des torrents afin de propager une variété de types de ransomware, y compris CryptXXX, CTB-Locker et Cerber, le cheval de Troie bancaire en ligne Dridex et le logiciel espion volé de mots de passe Pony.

« RAUM est un système spécial développé par les propriétaires du réseau malveillant souterrain identifié, utilisé pour deux choses : l’analyse des fichiers torrent tendance sur les trackers de torrents avec un grand nombre de téléchargements, et le reconditionnement de ces fichiers avec des logiciels malveillants pour une distribution ultérieure. Le système télécharge le fichier torrent armé final sur les mêmes trackers sous divers comptes d’utilisateurs volés, ayant une bonne réputation là-bas », a déclaré Andrew Komarov, CIO d’InfoArmor, dans un e-mail.

Une fois que le tracker de torrents identifie le contenu le plus populaire téléchargé à ce moment-là, des logiciels malveillants sont insérés dans les fichiers torrent analysés, et le fichier armé est ensuite placé pour une distribution ultérieure via des sites de torrents populaires comme PirateBay, ExtraTorrent et TorrentHound.

« Plus tard, ils les téléchargent sur les mêmes trackers, et d’autres trackers, en utilisant des identifiants volés de ‘seeders’, ayant une bonne réputation sur eux, car cela aide leurs fichiers à être mieux distribués. De cette manière, ils infectent un grand nombre d’utilisateurs de manière systématique », a ajouté Komarov.

Selon les chercheurs, « Les acteurs de la menace surveillaient systématiquement l’état des semences malveillantes créées sur des trackers de torrents célèbres tels que The Pirate Bay, ExtraTorrent et bien d’autres.

« Dans certains cas, ils recherchaient spécifiquement des comptes compromis d’autres utilisateurs sur ces communautés en ligne qui avaient été extraits des journaux de botnets afin de les utiliser pour de nouvelles semences au nom des victimes affectées à leur insu, augmentant ainsi la réputation des fichiers téléchargés. »

« Nous avons identifié plus de 1 639 000 enregistrements collectés au cours des derniers mois auprès des victimes infectées avec divers identifiants pour des services en ligne, des jeux, des réseaux sociaux, des ressources d’entreprise et des données exfiltrées du réseau découvert », ont-ils ajouté.

L’outil RAUM a été distribué exclusivement aux acteurs de la menace sur invitation uniquement, qui distribuent ensuite des logiciels malveillants via des torrents sur un modèle de paiement par installation (PPI). Plus le logiciel malveillant est installé à l’insu d’un utilisateur, plus l’argent dû au cybercriminel est élevé.

Considérant à quel point la confiance est importante dans la communauté des torrents, si des téléchargeurs majeurs étaient compromis, la distribution de logiciels malveillants pourrait augmenter de manière exponentielle.

« Dans certains cas, la durée de vie de ces fichiers malveillants semés a dépassé 1,5 mois et a entraîné des milliers de téléchargements réussis », déclare InfoArmor.

Les cibles les plus populaires sont les jeux en ligne basés sur PC et les fichiers d’activation (par opposition aux fichiers vidéo et musicaux) pour les systèmes d’exploitation, y compris Microsoft Windows et Apple Mac OS.

« Tous les semences malveillantes créées étaient surveillées par des cybercriminels afin d’éviter une détection précoce par [les logiciels antivirus] et avaient différents statuts tels que ‘fermé’, ‘vivant’ et ‘détecté par antivirus’. Certains des éléments identifiés de leur infrastructure étaient hébergés dans le réseau TOR », explique InfoArmor.

Les utilisateurs doivent faire preuve d’une extrême prudence lorsqu’ils visitent des sites de téléchargement de torrents ou téléchargent des fichiers piratés, recommande l’équipe d’InfoArmor. Comme mesure de précaution supplémentaire, nous suggérerions aux utilisateurs de s’abstenir d’installer tout logiciel provenant de sources non fiables, peu importe où ils se trouvent en ligne.