RAUM arma i torrent più popolari per diffondere malware dannoso

La società di sicurezza rivela lo strumento di rete torrent dannoso

Il Black Team, un sindacato di cybercrime dell’Europa orientale, ha riconosciuto una grande rete sotterranea dannosa, capace di armare file torrent popolari per diffondere malware.

Questa rete di cyber-crimine sotterranea chiamata RAUM è stata scoperta dalla società di sicurezza statunitense InfoArmor, che ha dichiarato che il RAUM è stato utilizzato in campagne attive per diffondere malware attraverso i torrent.

I ricercatori di InfoArmor hanno scoperto che RAUM è stato utilizzato per “armare” essenzialmente i torrent per diffondere una varietà di tipi di ransomware tra cui CryptXXX, CTB-Locker e Cerber, il Trojan bancario online Dridex e il spyware che ruba password Pony.

“RAUM è un sistema speciale sviluppato dai proprietari della rete dannosa sotterranea identificata, utilizzato per due cose: analisi dei file torrent di tendenza sui tracker torrent con un alto numero di download e ulteriore ripackaging di questi file con malware per una successiva distribuzione. Il sistema carica il file torrent finale armato sugli stessi tracker sotto vari account utente rubati, avendo una buona reputazione lì,” ha dichiarato Andrew Komarov, CIO di InfoArmor, in un’email.

Una volta che il tracker torrent identifica il contenuto più popolare scaricato in quel momento, il malware viene inserito nei file torrent analizzati, e il file armato viene poi collocato per una successiva distribuzione attraverso siti torrent popolari come PirateBay, ExtraTorrent e TorrentHound.

“Successivamente, li caricano sugli stessi tracker e su altri tracker, utilizzando credenziali rubate di ‘seeders’, avendo una buona reputazione su di essi, poiché aiuta i loro file a essere distribuiti meglio. In questo modo, infettano un gran numero di utenti in modo sistematico,” ha aggiunto Komrarov.

Secondo i ricercatori, “Gli attori della minaccia monitoravano sistematicamente lo stato dei semi dannosi creati su famosi tracker torrent come The Pirate Bay, ExtraTorrent e molti altri.

“In alcuni casi, cercavano specificamente account compromessi di altri utenti in queste comunità online che erano stati estratti dai log del botnet per utilizzarli come nuovi semi a nome delle vittime colpite senza la loro conoscenza, aumentando così la reputazione dei file caricati.”

“Abbiamo identificato oltre 1.639.000 record raccolti negli ultimi mesi dalle vittime infette con varie credenziali per servizi online, giochi, social media, risorse aziendali e dati esfiltrati dalla rete scoperta,” hanno aggiunto.

Lo strumento RAUM è stato distribuito esclusivamente ad attori della minaccia solo su invito, che poi distribuiscono malware attraverso torrent basati su un modello pay-per-install (PPI). Più volte il malware viene installato inconsapevolmente da un utente, più soldi deve ricevere il cybercriminale.

Considerando quanto sia importante la fiducia nella comunità torrent, se i principali uploader fossero compromessi, la distribuzione di malware potrebbe aumentare esponenzialmente.

“In alcuni casi, la durata di questi file dannosi seminati ha superato 1,5 mesi e ha portato a migliaia di download riusciti,” afferma InfoArmor.

I target più popolari sono i giochi online basati su PC e i file di attivazione (a differenza di file video e musicali) per sistemi operativi tra cui Microsoft Windows e Apple Mac OS.

“Tutti i semi dannosi creati sono stati monitorati dai cybercriminali per prevenire una rilevazione precoce da parte di [software antivirus] e avevano diversi stati come ‘chiuso’, ‘vivo’ e ‘rilevato da antivirus.’ Alcuni degli elementi identificati della loro infrastruttura erano ospitati nella rete TOR,” spiega InfoArmor.

Gli utenti dovrebbero prestare estrema cautela quando visitano siti di download torrent o scaricano file piratati, raccomanda il team di InfoArmor. Come misura precauzionale aggiuntiva, suggeriamo agli utenti di astenersi dall’installare qualsiasi software da fonti non affidabili, indipendentemente da dove si trovino online.