Het beveiligingsbedrijf InfoArmor heeft een tool ontdekt, waarmee kwaadwillenden malware kunnen verspreiden door deze te bundelen met bestanden die worden gedeeld via torrents. Criminelen zouden betaald worden voor het verspreiden van malware met de tool.

Volgens het bedrijf heeft de tool de naam 'Raum'. Door bijvoorbeeld kwaadaardige torrents aan te maken van populaire films of games en deze te seeden, konden criminelen de personen infecteren die deze bestanden binnenhaalden. De malware bestaat voornamelijk uit ransomware-varianten als Cerber en CryptXXX. Ook de banking trojan Dridex en malware voor het stelen van wachtwoorden wordt geassocieerd met de tool. In totaal vond het bedrijf ongeveer 1,6 miljoen gegevens van geïnfecteerde slachtoffers, waaronder wachtwoorden voor verschillende online diensten. De Oost-Europese groepering 'Black Team' zou achter de Raum-tool zitten.

De software is voorzien van een managementpaneel, waarop de gebruikers het aantal geïnfecteerde torrents kunnen bijhouden op verschillende torrentsites. Daarbij krijgen zij aanduidingen mee als 'actief', 'gesloten', of 'gedetecteerd door antivirus'. In sommige gevallen zijn deze bestanden soms langer dan anderhalve maand aanwezig op deze sites, aldus InfoArmor. Raum-gebruikers zouden een voorkeur hebben voor het infecteren van bestanden als activators voor games en andere software. Ook worden accounts van leden van de torrentsites gebruikt om de kwaadaardige torrents meer geloofwaardigheid te geven, aldus het bedrijf.

Het model van Raum werkt op basis van uitnodigingen, waarbij criminelen werden betaald per infectie door een kwaadaardige download. InfoArmor legt niet uit op welke manier het achter het bestaan van de tool is gekomen.

Reacties mogelijk gemaakt door CComment