RAUM은 가장 인기 있는 토렌트를 무기로 사용하여 악성 맬웨어를 퍼뜨립니다

보안 회사가 악성 토렌트 네트워크 도구를 공개하다

동유럽 사이버 범죄 집단인 블랙 팀은 인기 있는 토렌트 파일을 무기로 사용하여 맬웨어를 퍼뜨릴 수 있는 거대한 지하 악성 네트워크를 인식했습니다.

이 지하 사이버 범죄 네트워크인 RAUM은 미국 보안 회사인 InfoArmor에 의해 발견되었으며, RAUM이 토렌트를 통해 맬웨어를 퍼뜨리는 활동적인 캠페인에 사용되었다고 밝혔습니다.

InfoArmor의 연구자들은 RAUM이 CryptXXX, CTB-Locker 및 Cerber와 같은 다양한 랜섬웨어 유형, 온라인 뱅킹 트로이안 Dridex 및 비밀번호 도용 스파이웨어 Pony를 퍼뜨리기 위해 본질적으로 토렌트를 “무기화”하는 데 사용되었다고 발견했습니다.

“RAUM은 확인된 지하 악성 네트워크의 소유자들이 개발한 특별한 시스템으로, 두 가지 용도로 사용됩니다 – 다운로드 수가 많은 토렌트 트래커에서 트렌드 토렌트 파일 분석과, 이 파일을 맬웨어로 재포장하여 추가 배포를 위한 것입니다. 이 시스템은 최종 무기화된 토렌트 파일을 다양한 도난 사용자 계정으로 동일한 트래커에 업로드하여 그곳에서 좋은 평판을 얻습니다.”라고 InfoArmor의 CIO인 Andrew Komarov가 이메일에서 말했습니다.

토렌트 트래커가 그 당시 다운로드되고 있는 가장 인기 있는 콘텐츠를 식별하면, 맬웨어가 파싱된 토렌트 파일에 삽입되고, 무기화된 파일은 PirateBay, ExtraTorrent 및 TorrentHound와 같은 인기 있는 토렌트 사이트를 통해 추가 배포를 위해 배치됩니다.

“이후 그들은 동일한 트래커와 다른 트래커에 ‘시더’의 도난 자격 증명을 사용하여 업로드하며, 이들은 좋은 평판을 가지고 있어 파일의 배포를 더 잘 도와줍니다. 이러한 방식으로 그들은 체계적으로 많은 사용자에게 감염시킵니다.”라고 Komarov가 덧붙였습니다.

연구자들에 따르면, “위협 행위자들은 The Pirate Bay, ExtraTorrent 및 기타 유명한 토렌트 트래커에서 생성된 악성 시드의 상태를 체계적으로 모니터링했습니다.

“일부 경우, 그들은 이러한 온라인 커뮤니티에서 봇넷 로그에서 추출된 다른 사용자의 손상된 계정을 특별히 찾고 있었으며, 피해자의 지식 없이 새로운 시드를 위해 사용하여 업로드된 파일의 평판을 높였습니다.”

“우리는 최근 몇 달 동안 다양한 온라인 서비스, 게임, 소셜 미디어, 기업 자원 및 발견된 네트워크에서 유출된 데이터에 대한 자격 증명을 가진 감염된 피해자로부터 수집된 1,639,000개 이상의 기록을 확인했습니다.”라고 그들은 덧붙였습니다.

RAUM 도구는 초대받은 위협 행위자에게만 독점적으로 배포되며, 이들은 PPI(설치당 지불) 모델에 따라 토렌트를 통해 맬웨어를 배포합니다. 사용자가 무의식적으로 맬웨어를 설치할수록 사이버 범죄자는 더 많은 돈을 받게 됩니다.

토렌트 커뮤니티에서 신뢰가 얼마나 중요한지를 고려할 때, 주요 업로더가 손상되면 맬웨어 배포가 기하급수적으로 증가할 수 있습니다.

“일부 경우, 이러한 시드된 악성 파일의 수명은 1.5개월을 초과했으며, 수천 건의 성공적인 다운로드를 초래했습니다.”라고 InfoArmor가 말합니다.

가장 인기 있는 대상은 PC 기반 온라인 게임과 Microsoft Windows 및 Apple Mac OS를 포함한 운영 체제를 위한 활성화 파일(비디오 및 음악 파일과는 반대)입니다.

“생성된 모든 악성 시드는 사이버 범죄자들에 의해 모니터링되어 [안티바이러스 소프트웨어]에 의한 조기 탐지를 방지했으며, ‘닫힘’, ‘활성’, ‘안티바이러스에 의해 탐지됨’과 같은 다양한 상태를 가졌습니다. 그들의 인프라의 일부로 확인된 요소는 TOR 네트워크에 호스팅되었습니다.”라고 InfoArmor가 설명합니다.

InfoArmor 팀은 사용자가 토렌트 다운로드 사이트를 방문하거나 불법 파일을 다운로드할 때 극도의 주의를 기울일 것을 권장합니다. 추가 예방 조치로, 우리는 사용자가 온라인에서 발견되는 곳에 관계없이 신뢰할 수 없는 출처에서 소프트웨어 설치를 자제할 것을 제안합니다.