Ściągasz torrenty? Bądź ostrożny!

Przeczytaj także: Jak powstaje wirus komputerowy?

Praktyka dowodzi, że źródłem poważnego zagrożenia może być już samo pobranie klienta torrentowego (np. BitTorrent), a więc oprogramowania koniecznego do pobierania plików przy użyciu protokołu BitTorrent. Złośliwy plik, udający instalator programu do pobierania torrentów, może zainfekować komputer ofiary i trwale uszkodzić przechowywane na nim pliki.

Z taki incydentem mieliśmy do czynienia w minionym roku, kiedy to cyberprzestępcy obrali sobie za cel użytkowników systemu OS X, udostępniając im zainfekowaną wersję znanej i legalnej aplikacji Transmission. Użytkownik, który decydował się na pobranie zainfekowanego klienta BitTorrent stawał oko w oko z szyfrującym jego dane zagrożeniem ransomware o nazwie KeRanger. Pomimo szybkiej reakcji twórców programu Transmission, którzy usunęli zainfekowaną wersję programu w kilka godzin po jego opublikowaniu (na oficjalnej stronie internetowej tej firmy), tysiące osób zainfekowało swoje urządzenia złośliwym oprogramowaniem KeRanger.

Nie jest to odosobniony przypadek. Kilka miesięcy później złośliwe oprogramowanie o nazwie OSX/Keydnap, ponownie atakujące urządzenia z systemem OS X, rozprzestrzeniało się za pomocą innej wersji oprogramowania Transmission. Zagrożenie potrafiło wykradać loginy i hasła przechowywane w aplikacji Keychain (menedżer haseł znany również jako Pęk kluczy). Po wykryciu incydentu i zgłoszeniu go twórcom programu przez specjalistów z firmy ESET, zmodyfikowana aplikacja została usunięta z sieci.

W wypadku sieci BitTorrent ryzykowne mogą okazać się również udostępniane pliki. Ich nazwa może bowiem sugerować zawartość, która w rzeczywistości okazuje się zupełnie czymś innym. Taka sytuacja miała miejsce w przypadku backdoora Sathurbot, zagrożenia odkrytego przez ekspertów ESET w kwietniu 2017. Sathurbot ukrywał się jako popularny film lub oprogramowanie, by finalnie przejmować dostęp do kont WordPress i infekować kolejnych użytkowników. Zainfekowany pakiet torrentowy zawierał plik z rozszerzeniem wideo i instalator kodeków. Celem obu było skłonienie użytkownika do uruchomienia pliku wykonywalnego, który ładował bibliotekę DLL Sathurbota.

W lutym 2017 cyberprzestępcy po raz kolejny wykorzystali strony BitTorrent. Tym razem w celu rozprzestrzeniania zagrożenia szyfrującego o nazwie „Patcher" ukrywającego się jako aplikacja do „piracenia” popularnego oprogramowania. Torrent zawierał pojedynczy plik ZIP. Eksperci z firmy ESET odkryli dwie wersje tego złośliwego oprogramowania – każdą z nich stanowił patcher, czyli program, który modyfikuje inny program, aby można było z niego nielegalnie korzystać. W pierwszym przypadku patcher przeznaczony był dla programu Adobe Premiere Pro, a w drugim dla programu Microsoft Office dla komputerów Mac. Chociaż złośliwe oprogramowanie zawierało błędy, jego procedura szyfrowania była skuteczna i uniemożliwiała ofiarom dostęp do plików, które wcześnie zostały zablokowane. Ponadto ransomware nie posiadał kodu pozwalającego na komunikację z serwerem zarządzającym C&C. Oznaczało to, że wysłanie klucza deszyfrującego było niemożliwe.