Хакер #305. Многошаговые SQL-инъекции
Исследователи из компании InfoArmor опубликовали интересный отчет, в котором рассказали об обнаружении целой киберпреступной сети. При помощи сервиса RAUM преступники добавляют пейлоады малвари в популярные торрент-файлы и автоматизируют их распространение. Исследователи предполагают, что за созданием RAUM стоит хакерская группа Black Team из Восточной Европы.
Сервис RAUM работает по модели Pay-Per-Install (PPI, плата за каждую установку) и попасть туда можно лишь по специальному приглашению, заплатив взнос и пройдя серьезную проверку. Модель PPI подразумевает, что клиенты RAUM получают деньги каждый раз, когда малварь, которую они распространяют с помощью вредоносных торрентов, доходит до "конечного адресата", то есть поражает очередную жертву.
По данным InfoArmor, создатели RAUM используют сложную систему мониторинга, чтобы следить за тенденциями закачек на самых популярных в мире трекерах (The Pirate Bay, ExtraTorrent и так далее). Злоумышленники тщательно отслеживают последние тренды в области видео, аудио и софта по всему миру, и, опираясь на них, создают на трекерах вредоносные раздачи, якобы с наиболее востребованными на данный момент фильмами, сериалами или музыкой.
Для распространения малвари злоумышленники используют фейковые или взломанные аккаунты, данные о которых порой извлекаются из логов ботнетов или приобретаются у «коллег». Эксперты отмечают, что срок жизни таких раздач порой составляет полтора месяца и более, что приводит к тысячам успешных скачиваний и заражений.Те же аккаунты используются для набора репутации на трекерах и для накрутки популярности вредоносных раздач.
Изначально для распространения файлов злоумышленники использовали клиент uTorrent, но затем перешли к другой модели поведения. Теперь процесс автоматизирован, и за распространение малвари отвечает специализированная инфраструктура, частично расположенная в Tor и состоящая из выделенных и виртуальных серверов, а также скомпрометированных девайсов.
RAUM предоставляет своим клиентам удобную систему для создания вредоносных торрентов и даже подсказывает, какие торрент-файлы являются наиболее популярными на данный момент. По данным InfoArmor, наиболее привлекательны для преступников торренты-файлы с различными онлайновыми играми, а также файлами активации для Microsoft Windows и Mac OS.
Специалисты InfoArmor пишут, что RAUM может использоваться для распространения таких вредоносов, как банковский троян Dridex, спайварь Pony, или вымогатели Cerber, CryptXXX и CTB-Locker. По информации компании, ежемесячно из-за вредоносных торрентов страдают не менее 12 млн пользователей.