Torrenty z pirackimi filmami wykorzystywane do promowania złośliwego oprogramowania Lumma Stealer

Pirackie treści są bogatym źródłem złośliwego oprogramowania, co nie powinno dziwić osób, które już z niego korzystają. Łatwo sobie wyobrazić, że głównym zagrożeniem może być zhakowane oprogramowanie i inne instalatory. Jednak atakujący coraz częściej stosują starszą taktykę — przemycanie złośliwego oprogramowania za pomocą torrentów, które zawierają jeszcze niewyemitowane seriale i filmy.

Złośliwe oprogramowanie jest wszędzie

Jeśli wyszukałbyś w Google software crack, jest bardzo prawdopodobne, że pobrałbyś malware, a nie to, czego szukasz. W wielu przypadkach atakujący tworzą strony internetowe, które obiecują crack dla konkretnego oprogramowania, którego szukasz.

Inną powszechną taktyką jest proszenie o dane osobowe z obietnicą odblokowania pliku do pobrania. Wszystkie te rzeczy są do przewidzenia na zwykłych stronach internetowych, które promują zhakowaną zawartość i złośliwe oprogramowanie.

Jednak co z trackerami torrentów? Nie ma gwarancji, że zhakowana zawartość pobrana z torrenta będzie wolna od złośliwego oprogramowania. Problem polega na tym, że użytkownicy trackerów torrentów nie będą raczej zachowywać takiej samej ostrożności przy pobieraniu seriali i filmów, a właśnie to jest celem atakujących.

Pirackie treści wideo mogą być niebezpieczne

Bitdefender zauważył wzrost liczby torrentów obiecujących pirackie treści multimedialne, które zawierają również złośliwe oprogramowanie. W większości sytuacji uploader oferuje odcinek oczekiwanego serialu, który jeszcze nie został wyemitowany, mając nadzieję przyciągnąć ludzi aktywnie go poszukujących.

Rozmiar pobierania wygląda na właściwy, a zwykły schemat nazewnictwa jest przestrzegany, co czyni torrent bardziej atrakcyjnym. Jeśli użytkownik przejdzie do pobierania, odkryje, że nie jest to dokładnie to, o co prosił.

Ostatecznym pobraniem jest plik z rozszerzeniem ZIPX, który jest po prostu rodzajem archiwum, choć mniej używanym. Gdy użytkownik rozpakuje archiwum, struktura będzie wyglądać dość dziwnie.

Zauważysz, że plik, który powinien być programem telewizyjnym, ma rozszerzenie SCR. To format pierwotnie opracowany przez Microsoft i skrót od wygaszacza ekranu. Użytkownicy muszą wiedzieć, że jest to zasadniczo plik wykonywalny. Użytkownik może nie chcieć dwukrotnie kliknąć pliku EXE w folderze, który powinien zawierać program telewizyjny, ale plik SCR jest o wiele mniej podejrzany.

Co ciekawe, plik SCR ma tylko około 800 MB (nie jest to jego rzeczywisty rozmiar), a jest jeszcze inny folder o nazwie „vis”, który zawiera rzeczywisty plik wideo. W tym przypadku jest to kompletny i prawdziwy film w niższej rozdzielczości. Wszystko w archiwum razem będzie miało około 1,3 GB, co jest standardowym rozmiarem podobnych torrentów.

Gdyby użytkownik miał zainstalowany skuteczny system antywirusowy, nie mógłby rozpakować pliku, ponieważ rozwiązanie zabezpieczające wykryłoby zagrożenie i przeniosłoby je do kwarantanny.

Co się naprawdę dzieje?

Plik SCR to złośliwe oprogramowanie o nazwie Lumma Stealer, które istnieje od kilku lat. Badacze ds. bezpieczeństwa odkryli, że cyberprzestępcy próbowali przeforsować Lumma za pomocą operacji, która wykorzystywała fałszywe monity CAPTCHA, a cyberprzestępcy okazjonalnie wysyłali załączniki e-mail zawierające to złośliwe oprogramowanie.

Lumma to produkt typu „malware-as-a-service”, co oznacza, że jest sprzedawany w Darknecie i może być wdrażany nawet przez osoby, które niekoniecznie mają dużą wiedzę techniczną.

Celem złośliwego oprogramowania jest wyodrębnienie danych z zainfekowanych urządzeń z systemem Windows 11 i wcześniejszymi wersjami. Skupia się na danych przechowywanych przez przeglądarki internetowe, takie jak Google Chrome, Firefox, Edge i inne przeglądarki oparte na Chromium.

Przestępcy atakują nazwy użytkowników, hasła, portfele kryptowalut, przechowywane karty kredytowe i pliki cookie sesji.

Te same wzorce można zaobserwować w przypadku złośliwego oprogramowania Lumma używanego w tym ataku za pośrednictwem torrentów. Atakujący będzie próbował ukraść wszystkie możliwe informacje z urządzenia, ukryć swoją obecność, a nawet spróbować ustalić, czy zainstalowano rozwiązanie zabezpieczające.

Czy warto pobierać pirackie treści?

Pobieranie oprogramowania z podejrzanych witryn nigdy nie jest dobrym pomysłem, zwłaszcza że złośliwe oprogramowanie można łatwo zintegrować i wdrożyć za pośrednictwem takich kanałów. A jeśli myślisz, że jesteś bezpieczny, ponieważ nie pobierasz crackowanego oprogramowania, możesz się zdziwić, jeśli pobierzesz pirackie media.

Lumma stealer osadzony w torrentach z nielegalnymi treściami to tylko jeden z wielu sposobów, w jaki przestępcy oszukują ludzi, aby dobrowolnie zainstalowali złośliwe oprogramowanie. Nawet jeśli będziesz uważać i od tej pory będziesz unikać plików SCR, atakujący znajdą inne sposoby. Dlatego zdecydowanie nie rekomendujemy pobierania jakichkolwiek nielegalnych treści” – mówi Arkadiusz Kraszewski z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender