RAUMは最も人気のあるトレントを悪用して悪意のあるマルウェアを広める

セキュリティ会社が悪意のあるトレントネットワークツールを明らかに

東欧のサイバー犯罪シンジケートであるブラックチームは、人気のあるトレントファイルを悪用してマルウェアを広めることができる巨大な地下悪意のあるネットワークを認識しました。

この地下サイバー犯罪ネットワークはRAUMと名付けられ、米国のセキュリティ会社InfoArmorによって発見されました。InfoArmorは、RAUMがトレントを通じてマルウェアを広めるためのアクティブなキャンペーンで使用されていると述べています。

InfoArmorの研究者たちは、RAUMがCryptXXX、CTB-Locker、Cerberなどのさまざまなランサムウェアの種類を広めるためにトレントを本質的に「武器化」するために使用されていることを発見しました。また、オンラインバンキングトロイの木馬Dridexやパスワードを盗むスパイウェアPonyも含まれています。

「RAUMは、特定された地下悪意のあるネットワークの所有者によって開発された特別なシステムで、2つの目的で使用されます。1つは、ダウンロード数が多いトレントトラッカー上のトレンドトレントファイルの分析、もう1つは、マルウェアを使ってこれらのファイルを再パッケージ化し、さらなる配布のために使用することです。このシステムは、最終的な武器化されたトレントファイルを、さまざまな盗まれたユーザーアカウントの下で、良好な評判を持つ同じトラッカーにアップロードします」とInfoArmorのCIOアンドリュー・コマロフはメールで述べました。

トレントトラッカーがその時点で最も人気のあるコンテンツを特定すると、マルウェアが解析されたトレントファイルに挿入され、武器化されたファイルがPirateBay、ExtraTorrent、TorrentHoundなどの人気のトレントサイトを通じてさらなる配布のために配置されます。

「その後、彼らはそれらを同じトラッカーや他のトラッカーにアップロードし、良好な評判を持つ『シーダー』の盗まれた資格情報を使用します。これにより、彼らのファイルがより良く配布されるのを助けます。このようにして、彼らは体系的に多くのユーザーを感染させます」とコマロフは付け加えました。

研究者によると、「脅威アクターは、The Pirate Bay、ExtraTorrentなどの有名なトレントトラッカーで作成された悪意のあるシードの状態を体系的に監視していました。

「場合によっては、彼らはこれらのオンラインコミュニティで他のユーザーの侵害されたアカウントを特に探しており、ボットネットログから抽出されたもので、影響を受けた被害者の名義で新しいシードとして使用するために、知らないうちにアップロードされたファイルの評判を高めることができます。」

「私たちは、過去数ヶ月間に感染した被害者から収集された1,639,000件以上の記録を特定しました。これには、オンラインサービス、ゲーム、ソーシャルメディア、企業リソース、発見されたネットワークからのデータの流出に関するさまざまな資格情報が含まれています」と彼らは付け加えました。

RAUMツールは、招待制で脅威アクターに独占的に配布され、その後、ペイ・パー・インストール（PPI）モデルに基づいてトレントを通じてマルウェアを配布します。ユーザーが知らずにマルウェアをインストールする回数が多いほど、サイバー犯罪者はより多くの報酬を得ます。

トレントコミュニティにおいて信頼がどれほど重要であるかを考慮すると、主要なアップローダーが侵害された場合、マルウェアの配布は指数関数的に増加する可能性があります。

「場合によっては、これらのシードされた悪意のあるファイルの寿命は1.5ヶ月を超え、数千回の成功したダウンロードをもたらしました」とInfoArmorは述べています。

最も人気のあるターゲットは、PCベースのオンラインゲームや、Microsoft WindowsやApple Mac OSを含むオペレーティングシステムのためのアクティベーションファイル（ビデオや音楽ファイルとは対照的）です。

「作成されたすべての悪意のあるシードは、サイバー犯罪者によって監視され、[アンチウイルスソフトウェア]による早期検出を防ぐために、‘closed’、‘alive’、‘detected by antivirus’などの異なるステータスを持っていました。彼らのインフラストラクチャの一部として特定された要素は、TORネットワークにホストされていました」とInfoArmorは説明しています。

ユーザーは、トレントダウンロードサイトを訪問したり、海賊版ファイルをダウンロードしたりする際に、極度の注意を払うべきだとInfoArmorのチームは推奨しています。追加の予防措置として、オンラインで見つかる場所に関係なく、信頼できないソースからのソフトウェアのインストールを控えることをユーザーに提案します。