使用torrent跟踪器传播恶意软件是一种常见的做法; 网络犯罪分子将其伪装成流行的软件、电脑游戏、媒体文件以及其他广受欢迎的内容。我们在今年早些时候发现了一个这样的攻击活动，The Pirate Bay（TPB）跟踪器充斥着分发恶意软件的有害文件，均以付费程序的破解副本为幌子。

TPB中的恶意种子

我们注意到，跟踪器包含从许多不同帐户创建的恶意种子，其中一些账户在TBP上注册已有一段时间了。

恶意 torrent的描述

Torrent内容

下载到用户计算机的文件不是预期的软件，而是木马，其基本逻辑由SetupFactory安装程序实现。我们的安全解决方案将该恶意软件检测为Trojan-Downloader.Win32.PirateMatryoshka。

Pirate Matryoshka样本的工作流程

在初始阶段，安装程序解密另一个SetupFactory安装程序来显示网络钓鱼网页。

获取第一个恶意组件

该页面直接在安装窗口中打开，并请求用户的TBP帐户凭据，如此则可以继续下去。

获取TBP帐户的仿冒页面

被盗用的帐户最有可能被网络犯罪分子用来传播更多恶意种子 – 我们在上面提到，不仅仅是新创建的帐户被使用。

在执行下一步之前，Pirate Matryoshka首次验证它是否在受攻击的系统中运行。为此，它会检查注册表中的路径HKEY_CURRENT_USER\Software\dSet。如果存在，则终止进一步的执行。如果检查结果为否定，则安装程序会激活pastebin.com服务以获取指向附加模块及其解密密钥的链接。

获取第二个恶意组件

第二个下载的组件也是SetupFactory安装程序，用于按顺序解密和运行四个PE文件：

第二个恶意组件运行的模块

其中第二个和第四个是InstallCapital和MegaDowl文件合作伙伴程序的下载程序（我们归类为广告软件）。 它们通常通过文件共享站点向用户发送 – 除了下载所需内容外，他们的目标是在小心隐藏取消选项的同时安装其他软件。 例如，在InstallCapital中，可安装软件的完整列表放在许可协议的末尾：

InstallCapital中可安装软件的完整列表

在MegaDowl中，列表隐藏在看似无效的高级设置按钮后面：

MegaDowl中可安装软件的完整列表

另外两个文件是用VisualBasic编写的自动注册器，它们是阻止用户取消附加软件安装所必需的（在这种情况下，网络犯罪分子是空手而归）。自动注册器在安装程序之前运行; 检测到安装程序窗口时，他们会选中复选框并单击所需的按钮，以便用户同意安装不必要的软件。

搜索合作伙伴下载程序窗口并单击它们

由于PirateMatryoshka，受害者的计算机充斥着破坏用户和浪费系统资源的有害程序。另外，文件合作伙伴计划的所有者通常不会跟踪其下载程序中提供的程序。 我们的研究表明，合作伙伴安装程序提供的五分之一的文件是恶意的 – 我们遇到的是pBot，Razy等等。

合作伙伴程序下载程序可以做的事

结论

网络犯罪分子总会有新的欺诈行为。在这种特殊情况下，他们采用了一种通过torrent跟踪器分发恶意内容的方法，以在用户计算机上安装广告软件。结果，许多TPB用户不仅在他们的机器上安装了广告软件或恶意软件，而且他们的帐户也被盗取。

卡巴斯基实验室解决方案通过以下判断检测PirateMatryoshka及其组件：

· Trojan-Downloader.Win32.PirateMatryoshka
· Trojan.Win32.InstClick
· AdWare.Win32.StartSurf
· AdWare.Win32.SmartInstaller
· AdWare.Win32.Generic

IOCs

· 66860309953dc7cd7faee88ec90a81f6
· 7576b8677975261fbb1e799d0231ec01
· 64dc8f3197607dbf652b985edb99ad4e
· 035cff7c52460a69f77a0a09db05a6f7
· a85f90f07dd9e8aab51c65d8287ec6be
· a857ae5cb87b23359ed70b8177aa44d3
· 45d4df9b38a8f8da385714f32415cd34

钓鱼域名

· www.mobilekey[.]pw

本文翻译自：https://securelist.com/piratebay-malware/89740/

翻译作者：TRex  原文地址：https://www.4hou.com/web/16619.html