Cómo los cibercriminales se aprovechan del ecosistema de torrents
Actualización, 7 de agosto 12:25 (UTC-03): Actualizamos el artículo para mencionar los usos legítimos de la tecnología de torrents y añadir datos de nuestra telemetría, con el fin de mostrar cuán frecuentemente los cibercriminales tratan de aprovecharse del ecosistema P2P para propagar sus creaciones maliciosas. Este artículo no buscaba denunciar la tecnología en sí misma.
Los torrents tienen muchos usos legítimos en varios segmentos. Los sistemas operativos y el software open-source los utilizan para poner a disposición sus nuevas versiones; los gamers los ven como su centro de actualización, y algunos músicos incluso lo usan para hacer llegar su material a sus oyentes.
Sin embargo, su popularidad entre usuarios los hace un interesante vector de propagación de amenazas para los cibercriminales. Desde comienzos de 2016, la telemetría de ESET ha detectado casi 15 millones de ocasiones en las que la descarga de código malicioso estaba relacionada a uno de los clientes P2P o servicios de compartición de archivos más populares.
Y no son solo los archivos de torrents los que pueden ser utilizados con fines maliciosos, ya que ocasionalmente se comprometen los propios clientes de BitTorrent, el software necesario para descargar o hacer seed de archivos en este ecosistema. Hemos observado esto el año pasado cuando atacantes apuntaron a usuarios de macOS comprometiendo una versión de la aplicación Transmission, un cliente de BitTorrent legítimo y muy popular, y luego lo usaron para propagar malware.
LOS TORRENTS TIENEN ALCANCE MASIVO Y PUEDEN INFECTAR EQUIPOS O USARLOS CON FINES MALICIOSOS
El primer ataque se documentó en marzo de 2016 y descargaba el ransomware KeRanger. A pesar de la rápida reacción de los desarrolladores de Transmission, que eliminaron la versión troyanizada del programa apenas unas horas después de que apareciera en el sitio oficial, hubo miles de víctimas en todo el mundo.
Lo que es peor, sus creadores usaron un algoritmo criptográfico que no era posible romper, lo cual dejaba inaccesible a la información de las víctimas.
Otro caso similar ocurrió en agosto de 2016. El malware para macOS llamado OSX/Keydnap se propagó usando otra versión alterada del software Transmission, insertando un backdoor permanente en los dispositivos infectados y robando credenciales almacenadas en la aplicación Keychain.
Nuevamente, el equipo oficial del programa actuó rápido y eliminó la aplicación troyanizada del sitio en cuestión de minutos, luego de ser notificado por investigadores de ESET.
LOS PAQUETES DE ARCHIVOS DESCARGADOS PUEDEN CONTENER MÁS DE LO QUE APARENTAN
Sin embargo, la amenaza que suponen los torrents se extiende más allá de estos casos. Los archivos descargados también pueden ser una amenaza, ya que se pueden hacer pasar por software, juegos, música o películas populares, pero pueden terminar siendo algo completamente distinto (y a menudo malicioso).
Esto fue lo que hizo el backdoor Sathurbot, una amenaza documentada por investigadores de ESET en abril de 2017. Los dispositivos se infectaban con torrents maliciosos y eran añadidos a una botnetque escaneaba Internet en busca de cuentras de administrador de sitios en WordPress. Luego, se ejecutaban ataques distribuidos de fuerza bruta contra ellas.
Para asegurarse de que podrá seguir propagándose, Sathurbot se aprovechaba de las cuentas comprometidas de WordPress para colocar el torrent malicioso donde deseara. Como resultado, estos archivos tenían muy buen seed y parecían legítimos a los usuarios más distraídos.
El paquete de la película contenía un archivo con extensión de video, acompañado por un aparente instalador de códecs y un archivo de texto con explicaciones. El software descargable contenía lo que parecía ser un instalador (ejecutable) y un pequeño archivo de texto. El objetivo de ambos era hacer que la víctima ejecutara el archivo que cargaba el DLL de Sathurbot.
En febrero de 2017, cibercriminales se aprovecharon de sitios de BitTorrent nuevamente para distribuir un nuevo ransomware llamado “Patcher”, que se hacía pasar por una aplicación para descargar software pirata.
El torrent contenía un único archivo ZIP, es decir, un paquete de aplicaciones. Los investigadores de ESET vieron dos versiones de este malware, una haciéndose pasar por “Patcher” para Adobe Premiere Pro y una para Microsoft Office para Mac. Sin embargo, el análisis no fue exhaustivo y puede que haya habido otras versiones circulando.
Aunque el malware no estaba muy bien desarrollado, su rutina de cifrado era lo suficientemente efectiva como para evitar que las víctimas accedieran a sus archivos afectados. Adicionalmente, el ransomware no tenía ningún código para comunicarse con un servidor de C&C.
Esto significa que no había forma de enviar la clave usada para cifrar los archivos a los operadores del malware, y ellos no tenían forma de proveer una clave de descifrado a las víctimas.
Estos son solo algunos ejemplos de clientes y archivos de BitTorrent usados como vector de propagación de amenazas; los cibercriminales se aprovechan de ellos porque pueden llegar a grandes cantidades de usuarios, para infectarlos con malware u obtener acceso a sus computadoras y usarlas con fines maliciosos.
Si quieres mantenerte protegido, no dejes de leer WeLiveSecurity para saber sobre estos casos. Recomendamos no usar software no licenciado porque el costo de una infección puede ser mucho mayor al de una licencia, y te evitará muchos dolores de cabeza.
Pero si decides descargar torrents, ten en cuenta estos posibles escenarios de riesgo y presta mucha atención antes de hacer clic.
Fuente: https://www.welivesecurity.com/
Fecha de consulta: 01 agoto 2017
