RAUM использует самые популярные торренты для распространения вредоносного ПО

Компания по безопасности раскрывает инструмент вредоносной сети торрентов

Black Team, восточноевропейский киберпреступный синдикат, обнаружил огромную подпольную вредоносную сеть, способную использовать популярные торрент-файлы для распространения вредоносного ПО.

Эта подпольная киберпреступная сеть под названием RAUM была обнаружена американской компанией по безопасности InfoArmor, которая сообщила, что RAUM использовался в активных кампаниях по распространению вредоносного ПО через торренты.

Исследователи из InfoArmor обнаружили, что RAUM использовался для фактического «вооружения» торрентов для распространения различных типов программ-вымогателей, включая CryptXXX, CTB-Locker и Cerber, онлайн-банковский троян Dridex и шпионское ПО для кражи паролей Pony.

«RAUM — это специальная система, разработанная владельцами выявленной подпольной вредоносной сети, используемая для двух целей — анализа популярных торрент-файлов на трекерах с высоким количеством загрузок и дальнейшей упаковки этих файлов с вредоносным ПО для дальнейшего распространения. Система загружает окончательный вооруженный торрент-файл на те же трекеры под различными украденными учетными записями пользователей, имеющими хорошую репутацию», — сказал в электронном письме Эндрю Комаров, CIO InfoArmor.

Как только торрент-трекер определяет самый популярный контент, который загружается в данный момент, вредоносное ПО вставляется в разобранные торрент-файлы, и вооруженный файл затем размещается для дальнейшего распространения через популярные торрент-сайты, такие как PirateBay, ExtraTorrent и TorrentHound.

«Позже они загружают их на те же трекеры и другие трекеры, используя украденные учетные данные ‘сидеров’, имеющих хорошую репутацию на них, так как это помогает их файлам лучше распространяться. Таким образом, они систематически заражают большое количество пользователей», — добавил Комаров.

Согласно исследователям, «угроза систематически отслеживала статус созданных вредоносных сидов на известных торрент-трекерах, таких как The Pirate Bay, ExtraTorrent и многих других.

«В некоторых случаях они специально искали скомпрометированные учетные записи других пользователей в этих онлайн-сообществах, которые были извлечены из логов ботнетов, чтобы использовать их для новых сидов от имени пострадавших жертв без их ведома, тем самым увеличивая репутацию загруженных файлов.»

«Мы идентифицировали более 1,639,000 записей, собранных за последние несколько месяцев от зараженных жертв с различными учетными данными к онлайн-сервисам, играм, социальным сетям, корпоративным ресурсам и эксфильтрованным данным из выявленной сети», — добавили они.

Инструмент RAUM был распространен исключительно среди злоумышленников по приглашению, которые затем распространяют вредоносное ПО через торренты на основе модели «оплата за установку» (PPI). Чем больше раз вредоносное ПО устанавливается незаметно пользователем, тем больше денег получает киберпреступник.

Учитывая, насколько важна доверие в сообществе торрентов, если крупные загрузчики были скомпрометированы, распространение вредоносного ПО может увеличиться экспоненциально.

«В некоторых случаях срок службы этих сидированных вредоносных файлов превышал 1,5 месяца и приводил к тысячам успешных загрузок», — говорит InfoArmor.

Наиболее популярными целями являются онлайн-игры на ПК и файлы активации (в отличие от видео и музыкальных файлов) для операционных систем, включая Microsoft Windows и Apple Mac OS.

«Все созданные вредоносные сиды отслеживались киберпреступниками, чтобы предотвратить раннее обнаружение [антивирусным ПО] и имели разные статусы, такие как ‘закрыто’, ‘активно’ и ‘обнаружено антивирусом’. Некоторые из выявленных элементов их инфраструктуры были размещены в сети TOR», — объясняет InfoArmor.

Пользователи должны проявлять крайнюю осторожность при посещении сайтов загрузки торрентов или загрузке пиратских файлов, рекомендует команда InfoArmor. В качестве дополнительной меры предосторожности мы рекомендуем пользователям воздерживаться от установки любого программного обеспечения из ненадежных источников, независимо от того, где они найдены в Интернете.