E安全9月22日讯 美国安全公司InfoArmor发现一个地下网络犯罪服务“RAUM”—允许恶意软件开发者压缩torrent文件内的恶意有效荷载并自动散布。据推测,该网络服务可能由自称“Black Team”的东欧组织运营。
“Black Team”正挑战全球torrent趋势
InfoArmor表示,Black Team密切关注全球盗版趋势,并使用热门torrenting门户上的伪造账号或被入侵的账号上传带有恶意软件的torrent文件。
之后,使用同一伪造/被劫持的账号以及种子农场提高恶意torrent文件的声誉,使其出现在用户搜索前列,并增加恶意有效荷载传播的机会。
付费并经过严格的审批过程后,恶意软件开发人员可以在RAUM服务上创建账号。之后,他们可以使用RAUM自动化处理上传torrent文件内的恶意软件。RAUM推荐当下热门的torrent文件,从而提升成功几率。
RAUM散布广告软件、勒索软件等
攻击者可以使用RAUM将合法软件作为PPI(安装付费)计划的一部分进行散布,或散布诸如Dridex银行木马、Pony infostealer、Cerber、CryptXXX以及CTB-Locker勒索软件此类的恶意软件。
InfoArmos表示,每月约有1200万用户受torrent文件恶意软件感染。被滥用的torrent网站包括The Pirate Bay(海盗湾)、 ExtraTorrent、Demonoid和 Kickass Torrents。
由于RAUM采用复杂的播种(seeding)方法,带有恶意软件的torrent文件通常可以存活超过1个半月。
RAUM是近期发生的海盗湾安全浏览警告的罪魁祸首
最常被感染的torrent文件通常是与Microsoft、Windows和Mac OS有关的在线游戏和激活文件。
InfoArmor还报告称,RAUM还提供伪造torrent网站散布恶意torrent文件。攻击者使用搜索引擎结果污染增加这些网站的流量。
9月17日,Google和Mozilla在各自的浏览器中将海盗湾网站归为黑名单。
E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com