Neues Tool infiziert Torrent-Downloads


Das BitTorrent-Protokoll, mit dem sich die Verteilung großer Datenmengen beschleunigen lässt, war schon immer beliebt bei Anbietern von illegal kopierter Software. Und wie so häufig bei illegalen Downloads wurden auch die BitTorrent-Inhalte von Kriminellen gerne zur Verbreitung von Malware genutzt.

Die Security-Firma InfoArmor berichtet nun in einem Blog-Beitrag über ein neu entdecktes Tool namens RAUM, das speziell dafür entwickelt wurde, beliebte, über Torrent-Server angebotene Software wie Spiele, Anwendungen oder auch Betriebssysteme wie Windows mit Ransomware wie CryptXXX, CTB-Locker und Cerber, dem Onlinebanking-Trojaner Dridex, der Spyware Pony und anderer Malware zu infizieren. Gleichzeitig hat das Programm aber auch noch eine zweite Funktion: Es erstellt stets aktuelles Statistiken über der Downloads von Torrent-Suchseiten wie The Pirate Bay oder ExtraTorrent. Laut InfoArmor blieben einige der mit Malware verseuchten Programme bis zu anderthalb Monate online, bevor sie entdeckt und von den Servern entfernt wurden. In dieser Zeit wurden sie von Tausenden von Usern heruntergeladen.

Die von RAUM gelieferten Statistiken dienen jedoch nicht nur zum Zusammenstellen von Hitlisten der beliebtesten Software. Sie werden auch genutzt zur Abrechnung mit den Kunden von RAUM. Denn das Tool wird im Untergrund aktiv vertrieben, die sorgfältig ausgesuchten Abnehmer werden nach einem Pay-Per-Install-Modell bezahlt: Je öfter eine über RAUM mit Malware versehene Software installiert wird, desto höher ist der Verdienst desjenigen, der sie verbreitet hat. Angeblich versuchten die Entwickler von RAUM zudem, die Accounts von einigen der aktivsten Torrent-Uploader zu hacken, um die Software gleich an der Quelle zu infizieren.

Hinter RAUM steht eine kriminelle Organisation namens Black Team, die vermutlich aus dem osteuropäischen Raum stammt. InfoArmor rät, beim Besuch von illegale Download-Sites für Torrents höchste Vorsicht walten zu lassen. Noch besser ist es natürlich, Software generell nicht aus unsicheren Quellen zu beziehen und die Finger von Raubkopien zu lassen.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)

Skip to main content