卡巴斯基實驗室研究人員發現了一種新的惡意軟體,這種惡意軟體以經典的俄羅斯玩偶命名,通過海盜灣的torrent tracker網站進行傳播,旨在通過廣告軟體和工具感染使用者電腦。將惡意軟體傳播到裝置上。這種惡意軟體攜帶一個特洛伊木馬下載程式偽裝成日常電腦使用的合法軟體的破解版本。當使用者安裝執行後,會顯示一份海盜灣網頁的副本,該頁面實際上是一個網路釣魚頁面,要求受害者輸入憑據以繼續安裝。稍後,這個惡意軟體使用這些證書建立新的seed服務,分發更多的盜版材料。
那麼為什麼黑客會選擇海盜灣的torrent tracker網站來傳播惡意軟體呢?
首先了解一個名詞——BitTorrent tracker(中文可稱:BT伺服器、tracker伺服器等)。
BitTorrent tracker是幫助BitTorrent協議(軟體工程師Bram Cohen發明了該協議,俗稱“BT下載”) 在節點與節點之間做連線的伺服器。 BitTorrent客戶端下載一開始就要連線到tracker,從tracker獲得其他客戶端IP地址後,才能連線到其他客戶端下載。只有下載了使用BT協議的應用軟體,使用者才能從海盜灣網站下載檔案。
海盜灣(The Pirate Bay,縮寫:TPB)是一個專門儲存、分類及搜尋BT種子的網站,2008年1月,其同時線上人數突破1千萬,管理的種子超過100萬,成為世界最大的BT網站(BitTorrent tracker),是網路分享與下載的重鎮之一。
因此海盜灣的torrent tracker網站就成為了那些希望分發惡意程式碼網路犯罪分子的熱門目標,尤其是那些被使用者搜尋的非法內容以及被使用者忽略系統警告的內容更是成為了黑客們的目標。
海盜灣使用已建立的seed伺服器傳播盜版,並且沒有已知的惡意活動歷史,因為其良好聲譽,所以潛在的受害者沒有理由懷疑要下載的檔案是惡意木馬。卡巴斯基的研究表明,到目前為止,網路釣魚連結已經被訪問了大約1萬次。
惡意軟體的攻擊可以在沒有使用者憑據的狀態下繼續進行,並且它將進一步解包惡意模組,包括一個惡意點選器,除此之外,還可以檢查觸發廣告軟體安裝程式的“同意”框,用未經請求的軟體“淹沒“受害者的裝置。
卡巴斯基表示,在受害者電腦上安裝的程式當中大約70%是廣告軟體,10%被檢測為可以將其他惡意軟體帶到電腦上的惡意軟體。
SquirtDanger
去年,網路犯罪分子利用一種叫做SquirtDanger的惡意軟體在全球範圍內實施網路攻擊。SquirtDanger是採用C#(C Sharp,由微軟公司釋出的一種物件導向的、執行於.NET Framework之上的高階程式設計語言)編寫的。允許攻擊者實現多種惡意目的,如螢幕截圖和竊取儲存在瀏覽器中密碼,甚至是竊取加密貨幣。SquirtDange主要通過用於宣傳非法盜版軟體的惡意廣告進行分發。
去年被報導的惡意軟體WebCobra,利用受害者的計算能力來挖掘Monero和Zcash等加密貨幣。WebCobra根據受害者的系統配置挖掘兩種加密貨幣,Monero和Zcash。靜默地釋放和安裝Cryptonight加密貨幣挖礦機或Claymore的Zcash挖礦機。主要感染的區域有巴西、南非和美國。
BlackEnergy(黑暗力量)最早可以追溯到2007年,由俄羅斯地下黑客組織開發並廣泛使用在BOTNET,主要用於建立殭屍網路,對定向目標實施DDoS攻擊。此後,Black Energy的攻擊開始轉向政治目標。自2014年夏季,陸續從烏克蘭政府及企事業單位截獲Black Energy樣本。Black Energy有一套完整的生成器,可以生成感染受害主機的客戶端程式和架構在C&C(指揮和控制)伺服器的命令生成指令碼。攻擊者利用這套黑客軟體可以方便地建立殭屍網路,只需在C&C伺服器下達簡單指令,殭屍網路受害主機便統一執行其指令。
參考來源: