网络犯罪团伙Black Team正在传播新的恶意工具“RAUM”,这个工具可以通过torrent文件将恶意软件植入受害者的设备,进而恶意软件开发者可以获取受害者的银行账户信息和其他密码。
InfoArmor近期进行的一项调查披露,黑市中出现了一个新工具,使黑客可以通过torrent下载植入恶意软件。这个工具名为RAUM,正以一定价格出售。它的强大之处有3点,1有一个监控平台,可以监控已经发出去的种子是否有效;2可以攻击种子上传的网站,进一步散播恶意软件;3有成熟的销售体系,按照安装量付费(PPI);4跨平台,覆盖windows和Mac OS
torrent游戏文件已成为重大威胁
利用torrent文件,用户可以从海盗湾(The Pirate Bay)、Extra Torrent等网站下载软件、音乐、视频和游戏。RAUM的开发方式允许攻击者根据上述网站的下载数量进行按次收费。
然而,这个恶意工具出现最多的,是在线游戏下载。另外,恶意工具的开发团队还发明了一个系统,追踪torrent文件的上传者并劫持他们的网站,以迫使他们将恶意软件放入torrent文件中。
RAUM的管理界面
RAUM的监控记录
最初,这帮坏家伙使用uTorrent客户端来传播文件。根据InfoArmor所说,他们近来部署了一项特殊的基建,能通过一个广阔的网络来管理新种子。这个网络由专用服务器和虚拟服务器组成,包括被黑的设备。
所有被攻击者创建的种子都在监控之中,避免防病毒软件的扫描,这些种子的状态有所区分,比如关闭、激活、被防病毒软件检测等等。这个平台的基础架构托管在TOR网络中 (小编:这两天暗网的事情真不少啊)
IOCs:
82.146.54.187
da0.eu
black-team.us
riqclchjyebc43np.onion
幕后黑手是Black Team
你可能好奇是谁能想出这么聪明的办法来窃取人们的隐私。到目前为止,唯一的发现是,这帮开发者的大本营在东欧,并且自称为Black Team. 就此而言,强烈建议人们克制住,不要从torrent或其它源下载盗版文件。盗版文件下载与恶意软件有关联,一点都不奇怪。
据Heimdal Security的Andra Zaharia所说,对网络罪犯而言,类似RAUM的工具是对无知用户进行勒索攻击的完美工具。
她说:网络罪犯之间和网络罪犯自身正在进行比赛,寻找最具影响力的勒索软件传播方式。“经常地,这涉及将恶意内容注入到大流量的web目的地、web服务器、网站或其他类型的内容,比如torrent。”
有了torrent,更多因素发挥了作用,帮助攻击者达到更高的感染成功率。网络罪犯可以利用用户对torrent网站的信任。另外,他们还可以操纵排名系统,从而人为地构造对被感染文件的信任,促进被感染文件的传播。
在勒索软件的感染技巧和传播途径上,勒索软件的开发者和恶意传播者永远不会停止创新。但我们能做的是,盯着他们,帮助世界各地的互联网用户改进他们的安全习惯,获取更安全的在线体验。
Digital Citizens Alliances和RiskIQ在2015年12月进行的一项研究表明,在2015年6月到8月之间,800个torrent网站中,几乎有三分之一都在用户电脑上植入了恶意软件。据估计,torrent网站总计每个月感染1200万用户,每年获利约7000万美元。
他们的研究报告名字真是超长:HOW CONTENT THEFT SITES AND MALWARE ARE EXPLOITED BY CYBERCRIMINALS TO HACK INTO INTERNET USERS COMPUTERS AND PERSONAL DATA
点击下面的图片下载报告全文