RAUM arma os torrents mais populares para espalhar malware malicioso

Empresa de segurança revela a ferramenta de rede de torrents maliciosos

A Black Team, um sindicato de cibercrime da Europa Oriental, reconheceu uma enorme rede underground maliciosa, capaz de armar arquivos torrent populares para espalhar malware.

Essa rede de cibercrime underground chamada RAUM foi descoberta pela empresa de segurança dos EUA InfoArmor, que afirmou que o RAUM foi utilizado em campanhas ativas para espalhar malware através de torrents.

Pesquisadores da InfoArmor descobriram que o RAUM tem sido usado para essencialmente “armar” torrents para espalhar uma variedade de tipos de ransomware, incluindo CryptXXX, CTB-Locker e Cerber, o Trojan de banco online Dridex e o spyware de roubo de senhas Pony.

“RAUM é um sistema especial desenvolvido pelos proprietários da rede maliciosa underground identificada, usado para duas coisas – análise de arquivos torrent em tendência em rastreadores de torrents com um alto número de downloads, e posterior reempacotamento desses arquivos com malware para distribuição posterior. O sistema faz o upload do arquivo torrent final armado para os mesmos rastreadores sob várias contas de usuário roubadas, tendo boa reputação lá,” disse Andrew Komarov, CIO da InfoArmor, em um e-mail.

Uma vez que o rastreador de torrents identifica o conteúdo mais popular sendo baixado naquele momento, malware é inserido nos arquivos torrent analisados, e o arquivo armado é então colocado para distribuição posterior através de sites de torrent populares como PirateBay, ExtraTorrent e TorrentHound.

“Mais tarde, eles os enviam para os mesmos rastreadores, e outros rastreadores, usando credenciais roubadas de ‘seeders’, tendo boa reputação neles, pois isso ajuda seus arquivos a serem distribuídos melhor. Dessa forma, eles infectam um grande número de usuários sistematicamente,” acrescentou Komarov.

De acordo com os pesquisadores, “Os atores de ameaça estavam monitorando sistematicamente o status das sementes maliciosas criadas em famosos rastreadores de torrents como The Pirate Bay, ExtraTorrent e muitos outros.

“Em alguns casos, eles estavam especificamente procurando contas comprometidas de outros usuários nessas comunidades online que foram extraídas de logs de botnets a fim de usá-las para novas sementes em nome das vítimas afetadas sem seu conhecimento, aumentando assim a reputação dos arquivos enviados.”

“Identificamos mais de 1.639.000 registros coletados nos últimos meses das vítimas infectadas com várias credenciais para serviços online, jogos, mídias sociais, recursos corporativos e dados exfiltrados da rede descoberta,” acrescentaram.

A ferramenta RAUM foi distribuída exclusivamente para atores de ameaça por convite apenas, que então distribuem malware através de torrents com base em um modelo de pagamento por instalação (PPI). Quanto mais vezes o malware é instalado sem o conhecimento do usuário, mais dinheiro o cibercriminoso recebe.

Considerando quão importante a confiança é na comunidade de torrents, se grandes carregadores fossem comprometidos, a distribuição de malware poderia aumentar exponencialmente.

“Em alguns casos, a vida útil desses arquivos maliciosos semeados excedeu 1,5 meses e resultou em milhares de downloads bem-sucedidos,” diz a InfoArmor.

Os alvos mais populares são jogos online baseados em PC e arquivos de ativação (em oposição a arquivos de vídeo e música) para sistemas operacionais, incluindo Microsoft Windows e Apple Mac OS.

“Todas as sementes maliciosas criadas foram monitoradas por cibercriminosos a fim de prevenir a detecção precoce por [software antivírus] e tinham diferentes status como ‘fechado’, ‘vivo’ e ‘detectado por antivírus.’ Alguns dos elementos identificados de sua infraestrutura estavam hospedados na rede TOR,” explica a InfoArmor.

Os usuários devem ter extrema cautela ao visitar sites de download de torrents ou ao baixar arquivos pirateados, recomenda a equipe da InfoArmor. Como uma medida de precaução adicional, sugerimos que os usuários se abstenham de instalar qualquer software de fontes não confiáveis, independentemente de onde sejam encontrados online.