Malware în stilul păpușilor rusești „Matrioșka”, detectat pe site-ul Pirate Bay
Un nou malware, răspândit prin intermediul Pirate Bay – unul dintre cele mai populare site-uri de tip torrent, a fost detectat de cercetătorii producătorului de soluții de securitate Kaspersky Lab.
Malware-ul urmărește infectarea PC-urilor utilizatorilor cu adware și instrumente capabile să instaleze alte programe malware. Este multistratificat și, având în vedere nenumăratele sale funcții ascunse în spatele altora, amenințarea a fost numită PirateMatryoshka, după celebra păpușă rusească.
Serviciile de tip torrent sunt utilizate în principal pentru distribuirea de conținut „piratat”, care este ilegal în majoritatea țărilor, deoarece poate încălca drepturile de proprietate intelectuală, și, cu toate acestea, ele rămân ușor accesibile online. Aceste servicii sunt o țintă populară pentru infractorii cibernetici care vor să distribuie coduri infectate, unul dintre motive fiind acela că utilizatorii aflați în căutarea de conținut ilegal își dezactivează de multe ori soluțiile de securitate online sau ignoră notificările sistemului pentru a putea instala conținutul descărcat.
Recent descoperitul malware PirateMatryoshka are un troian downloader (un malware care descarcă alt malware) deghizat într-o versiune piratată a unui software legitim, folosit în activitatea zilnică pe PC.
Malware-ul folosește o metodă complexă de auto-propagare. În timp ce marea majoritate a codurilor malware descoperite pe site-urile de torrent se răspândesc, de obicei, prin intermediul conturilor de utilizator nou instalate („seeders”), malware-ul PirateMatryoshka se răspândește folosind nume cunoscute, fără istoric cunoscut de activitate dăunătoare. Procesul de distribuție devine, astfel, mai eficient datorită bunei reputații a sursei: potențialele victime nu au nici un motiv să se îndoiască de faptul că fișierul pe care vor să îl descarce este sigur.
Odată ce un utilizator dă click pe programul de instalare, începe procesul de infectare cu PirateMatryoshka. În primul rând, victimei îi este afișată o copie a paginii Pirate Bay, care este de fapt o pagină de phishing, cerându-i să-și introducă datele de autentificare pentru a putea continua instalarea. Ulterior, acest program malware utilizează datele introduse pentru a crea noi instrumente de răspândire a malware-ului PirateMatryoshka. Cercetarea arată că, până acum, link-ul de phishing a fost accesat de aproximativ 10.000 de ori.
Procesul de infectare continuă chiar dacă nu s-au introdus datele utilizatorilor, iar malware-ul instalează alte module periculoase. Acestea includ un clicker infectat care, printre altele, poate bifa căsuța „de acord” care declanșează programul de instalare de adware, inundând dispozitivul victimei cu programe nesolicitate. Aproximativ 70% dintre programele instalate sunt adware, de tipul pBot, iar 10% sunt detectate ca programe malware care pot aduce alt malware pe PC, cum ar fi troianul downloader.
Prin urmare, PirateMatryoshka îmbină malware-ul complex și multifuncțional cu o distribuție eficientă a propriului cod sau a unui alt cod infectat.
„Deseori vedem malware multistratificat și găsim programe periculoase care instalează alte programe pe dispozitivul unui utilizator”, spune Anton V. Ivanov, security researcher la Kaspersky Lab. „În cazul PirateMatryoshka, însă, procesul este mai sofisticat, deoarece malware-ul care ajunge pe computerul victimei prin intermediul unui adware poate introduce alte programe de instalare de malware. Acest lucru este destul de complex, având în vedere că nu vorbim de un atac de tip direcționat, ci de unul de masă, cu o componentă de phishing, pentru o distribuție mai extinsă.”
Kaspersky lab detectează acest malware ca:
Trojan-Downloader.Win32.PirateMatryoshka
Trojan.Win32.InstClick
Pentru a vă proteja dispozitivele, Kaspersky Lab recomandă următoarele:
– Utilizați numai software legitim, descărcat de pe paginile web oficiale.
– Acordați o atenție deosebită autenticității site-ului. Nu vizitați pagini web până când nu aveți certitudinea că acestea sunt legitime.
– Instalați soluții de securitate fiabile, care asigură automat completarea datelor de autentificare și oferă protecție completă împotriva unei game largi de amenințări.