קספרסקי: קוד זדוני רב שכבתי מופץ על ידי אתר ההורדות Pirate Bay

קספרסקי

חוקרי מעבדת קספרסקי זיהו קוד זדוני חדש המופץ דרך Pirate Bay – אחד מאתרי הורדות הטורנט הנפוצים ביותר. הקוד הזדוני נועד להדביק את המשתמשים במחשבים אישיים בתוכנות פרסום ובכלים שיאפשרו התקנה של קוד זדוני נוסף. לקוד הזדוני יש מבנה רב שכבתי, ובעקבות מערך היכולות הכמעט אינסופי שלו, הוא קיבל את השם PirateMatryoshka, על שם הבובה הרוסית הידועה.

שירותי טורנט משמשים בעיקר לצורך הפצה של תוכן פיראטי, שאינו חוקי ברוב המדינות מכיוון שהוא מפר זכויות יוצרים. עם זאת, השירותים האלה נגישים מאוד ברשת ומהווים מטרה פופולארית עבור עברייני סייבר המעוניינים להפיץ קוד זדוני – בין היתר, מכיוון שמשתמשים אשר מחפשים אחר תוכן פיראטי לעיתים קרובות מבטלים את פתרונות האבטחה שלהם ונוטים להתעלם מהתראות מערכת.

הקוד הזדוני החדש שנחשף, PirateMatyoshka, מכיל בתוכו Trojan-downloader (קוד זדוני אשר מוריד תוכנות התקנה נוספות לקוד זדוני), כשהוא מחופש לגרסה פרוצה של תוכנה נפוצה (המשמשת בפעילות מחשוב יומיומית).

הקוד הזדוני משתמש בשיטה מתוחכמת של הנדסה חברתית כדי להפיץ את עצמו. בעוד שרוב הקוד הזדוני שנחשף באתרי טורנטים מופץ בדרך כלל באמצעות חשבונות של משתמשים חדשים (Seeders), הקוד הזדוני PirateMatryoshka מופץ באמצעות seeders קיימים, בעלי היסטוריה נקיה מפעילות זדונית. אלה הופכים את תהליך ההפצה ליעיל, מכיוון שהודות למוניטין של תורם התוכן, אין לקורבן הפוטנציאלי סיבה לפקפק בבטיחות הקובץ שהוא מוריד.

ברגע שהמשתמש לוחץ על ה- installer מתחיל תהליך ההדבקה של PirateMatryoshka. בהתחלה הוא מראה לקורבן עותק של דף האתר The Pirate Bay, שהוא למעשה דף פישינג המבקש מהגולש להזין את שם המשתמש והסיסמא שלו כדי להמשיך את ההורדה. לאחר מכן הקוד הזדוני ישתמש בהרשאות כדי ליצור seerders להפצה עצמית. המחקר מראה כי עד עתה נרשמו יותר מ-10,000 כניסות לקישור הפישינג.

תהליך ההתקנה ממשיך אפילו אם הרשאות המשתמש אינן מוזנות, כשהקוד הזדוני פורק את המודולים הזדוניים הנוספים שלו. אלה כוללים "קליקר" זדוני – תוכנה שיודעת לסמן V בתיבת ה"אני מסכים" שמופיעה במסך ההתקנה של תוכנת הפרסום הזדונית, שלאחר מכן מציפה את מכשיר הקורבן בתוכנה בלתי מורשית. כ-70% מהתוכנות המותקנות הן תוכנות פרסום זדוניות כגון pBot, ו-10% מהן זוהו כקוד זדוני שמאפשר להכניס למחשב קוד זדוני נוסף. מכאן ש-PirateMatryoshka משלב ביעילות קוד זדוני, רב שכבתי ומתוחכם, יחד עם יכולות הפצה עבור עצמו ועבור קוד זדוני אחר.

"אנו רואים לעיתים קרובות קוד זדוני רב שכבתי, כגון droppers, ואנו מאתרים מתקינים זדוניים אשר מסוגלים להתקין יותר מתוכנה אחת על מכשיר הקורבן. עם זאת, ב-PirateMatryoshka, התהליך מתוחכם יותר, כאשר הקוד הזדוני שמגיע למחשב באמצעות תוכנת הפרסום יכול להכניס קוד התקנה נוסף שנועד להתקין קוד זדוני נוסף. זו שיטה מתקדמת יחסית, לאור העובדה שמדובר בהתקפה המונית ולא ממוקדת, אשר נושאת רכיב פישינג להגברת ההפצה", אמר אנטון איבנוב, חוקר אבטחה במעבדת קספרסקי.

על מנת להגן על המכשירים, מעבדת קספרסקי מייעצת:
לעשות שימוש בתוכנה מקורית בלבד, שמומלץ להוריד מאתרים רשמיים
להקדיש תשומת לב מיוחדת לאמינות אתרים. אל תבקרו באתרים אם אינכם בטוחים באמינותם
להתקין פתרונות אבטחה אמינים המאבטחים גם הזנה של סיסמאות גישה לשירותים, ואשר מספקים הגנה מקיפה מול טווח רחב של איומים