De ce ar trebui să tratați torrent-ele ca pe o amenințare


În ciuda popularității lor în rândul utilizatorilor, torrent-ele sunt o "afacere" foarte riscantă. Pe lângă problemele juridice evidente pe care le-ați putea confrunta pentru încălcarea drepturilor de autor ale muzicienilor, producătorilor de filme sau dezvoltatorilor de software, există probleme de securitate legate de descărcarea acestora, ceea ce ar putea face ca dvs. sau computerul dvs. să ajungă în vizorul hackerilor de tip Black Hat.

Descărcarea doar a celei mai noi versiuni de clienți BitTorrent - un software necesar pentru orice utilizator care dorește să descarce sau să distribuie fișiere din acest "ecosistem" - ar putea să vă infecteze mașina și să vă deterioreze iremediabil fișierele.

Acest lucru s-a dovedit a fi adevărat în mai multe ocazii în ultimul an, când atacatorii au vizat utilizatorii MacOS prin deturnarea unei versiuni a aplicației Transmission, un client BitTorrent legitim și utilizat la scară largă și apoi folosit pentru a răspândi familii de malware dăunătoare.

Primul atac a fost documentat în martie 2016, descărcând ransomware-ul cunoscut sub numele de KeRanger. În ciuda reacției rapide a dezvoltatorilor Transmission, care au eliminat versiunea troianizată a aplicației la doar câteva ore după ce a apărut pe site-ul oficial, a continuat să afecteze mii de victime din întreaga lume.

Ce este mai rău, creatorii lui KeRanger au folosit un algoritm criptografic care efectiv nu a putut fi spart, făcând datele victimelor inaccesibile.

Un alt caz care a urmat aceeași cale a avut loc în august 2016. Malware-ul macOS denumit OSX/Keydnap, răspândit prin intermediul unei alte versiuni deturnate a software-ului Transmission – implementând un backdoor permanent pe dispozitivele infectate și furând datele de autentificare stocate în aplicatia Keychain.

Din nou, echipa oficială a clientului BitTorrent a reacționat rapid și a eliminat aplicația troianizată de pe site în câteva minute după ce a fost notificată de cercetătorii ESET.

Cu toate acestea, amenințarea reprezentată de torrente se extinde dincolo de acești clienți. Riscurile sunt, de asemenea, asociate cu fișierele descărcate, care pot fi constituite dintr-un software popular, jocuri sau filme, dar se dovedesc a fi ceva complet diferit - adesea malițios.

Acesta a fost și cazul troianului din backdoor-ul Sathurbot, o amenințare documentată de cercetătorii ESET în aprilie 2017. Dispozitivele afectate au fost infectate prin torenți malware și adăugate la un botnet care a scanat internetul pentru conturile de administrator WordPress. Acestea au fost apoi vizate de un atac de tip forță-brută.

Pentru a-și asigura propagarea ulterioară, Sathurbot a fost mascat sub forma unui film popular sau a unui software și a folosit în mod greșit conturile de WordPress deturnate pentru a-și propaga în continuare torrent-ul malițios. Ca rezultat, fișierele troianizate erau foarte bine însămânțate și păreau legitime "pentru cei neinstruiți".

Pachetul de torrent pentru filme conținea un fișier cu o extensie video însoțită aparent de un instalator de pachete de codec-uri și un fișier text explicativ. Torrent-ul de software conținea în aparență un executabil de instalare și un fișier text mic. Obiectivul celor două torrente a fost acela de a face victima să ruleze executabilul care a încărcat DLL-ul Sathurbot.

În februarie 2017, hackerii Black Hat au utilizat în mod abuziv site-urile BitTorrent din nou, de data aceasta pentru a distribui un nou ransomware numit "Patcher", aparent o aplicație pentru pirateria software-ului popular.

Torrent-ul conținea un singur fișier ZIP – un pachet de aplicații. Cercetătorii ESET au văzut două versiuni ale acestui program malware, unul reprezentând un "Patcher" pentru Adobe Premiere Pro și unul pentru Microsoft Office for Mac. Cu toate acestea, analiza nu a fost exhaustivă și s-ar putea să fi existat alte versiuni în sălbăticie.

Chiar dacă malware-ul a fost slab codificat, rutina sa de criptare a fost suficient de eficientă pentru a împiedica accesul victimelor la fișierele afectate. În plus, ransomware-ul nu avea niciun cod pentru a comunica cu un server C&C. Acest lucru înseamnă că nu a existat nicio modalitate de a trimite cheia - folosită pentru a cripta fișierele - operatorilor malware și nici o modalitate de a furniza victimei cheia de decriptare.

Acestea sunt doar câteva exemple de clienți Bittorrent și de torrente, fiind un vector popular pentru infractorii cibernetici care îl folosesc pentru a infecta un număr mare de utilizatori care nu sunt conștienți de malware sau pentru a obține controlul asupra computerelor și pentru a le folosi în scopuri rele.

Dacă doriți să rămâneți informat și protejat prin construirea cunoștințelor dvs., citiți ultimele știri de la cercetătorii ESET publicate pe blogul ESET.ro.

 

ONDREJ KUBOVIC

Security Awareness Specialist

CORESPONDENT INDEPENDENT

 

oana August 8, 2017

Lasa un comentariu