Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties
Submitter: CriticalHit_NL

Het beveiligingsbedrijf InfoArmor heeft een tool ontdekt waarmee kwaadwillenden malware kunnen verspreiden door deze te bundelen met bestanden die worden gedeeld via torrents. Criminelen zouden betaald worden voor het verspreiden van malware met de tool.

Volgens het bedrijf heeft de tool de naam 'Raum'. Door bijvoorbeeld kwaadaardige torrents aan te maken van populaire films of games en deze te seeden, konden criminelen de systemen infecteren van personen die deze bestanden binnenhaalden. De malware bestaat voornamelijk uit ransomwarevarianten als Cerber en CryptXXX. Ook de banking trojan Dridex en malware voor het stelen van wachtwoorden wordt geassocieerd met de tool. In totaal vond het bedrijf ongeveer 1,6 miljoen gegevens van geïnfecteerde systemen van slachtoffers, waaronder wachtwoorden voor verschillende online diensten. De Oost-Europese groepering Black Team zou achter de Raum-tool zitten.

De software is voorzien van een managementpaneel, waarop de gebruikers het aantal geïnfecteerde torrents kunnen bijhouden op verschillende torrentsites. Daarbij krijgen zij aanduidingen mee als 'actief', 'gesloten', of 'gedetecteerd door antivirus'. In sommige gevallen zijn deze bestanden soms langer dan anderhalve maand aanwezig op deze sites, aldus InfoArmor. Raum-gebruikers zouden een voorkeur hebben voor het infecteren van bestanden als activators voor games en andere software. Ook worden accounts van leden van de torrentsites gebruikt om de kwaadaardige torrents meer geloofwaardigheid te geven, aldus het bedrijf.

Het model van Raum werkt op basis van uitnodigingen, waarbij criminelen werden betaald per infectie door een kwaadaardige download. InfoArmor legt niet uit op welke manier het achter het bestaan van de tool is gekomen.

raum-toolMet Raum geïnfecteerde torrents, afbeelding via InfoArmor

Moderatie-faq Wijzig weergave

Reacties (68)

Mijn tip: als je niet zeker weet of een exe in een torrent veilig is, kan je 'm uploaden naar virustotal.com en laten scannen. En verder de exe uitvoeren in een tijdelijke vm (die geen netwerk connectie heeft). Dan zie je vanzelf wat er gebeurt en of je er iets aan hebt. Vervolgens vm verwijderen.
Je kan een malafide .exe gewoon encrypten, de meeste public encryptors blijven een weekje FUD (fully undetectable).

Anyway vergeet die VM, gebruik gewoon sandbox (vb sandboxie).
Ik heb niet veel ervaring met Sanbox(ie), maar een vm lijkt mij toch veiliger. Wellicht dat een sandbox veilig genoeg is, maar aan de andere kant is een vm ook weer niet zo'n big-deal om op te zetten.
hoe moet ik zo'n virtual machine opzetten dan? Ik heb ooit een poging gedaan, maar op google kwam ik alleen dingen tegen waarvoor je moest betalen.

Iedereen praat altijd over VMware, dus die heb ik opgezocht, alleen ze hebben een downloadpagina met ongeveer 60 downloads: https://my.vmware.com/web/vmware/downloads
VMware Workstation Player is degene die je moet hebben. Gratis voor thuisgebruik.

Een andere gratis VM product is Virtualbox: https://www.virtualbox.org/
(deze heeft ook de mogelijkheid om een snapshot te maken van de vm, iets wat de gratis VMware workstation player niet kan).

Wellicht overbodig om te vermelden: VMware workstation player of Virtualbox installeren de mogelijkheid om 1 of meerdere virtual machines aan te maken en te gebruiken. In een dergelijke virtual machine installeer je vervolgens een OS. Dit kan WIndows zijn, een Linux variant, of een ander OS. Je hebt dus ook de installatie bestanden nodig van een OS. Bijvoorbeeld je kunt een ISO downloaden bij Microsoft van Windows 10, die je kunt gebruiken voor een proefperiode). Daarmee installeer je een VM die je dan kunt gebruiken voor de proefperiode (wat vaak lang genoeg is om uit te proberen wat je wilt testen)
Omdat Linux distro's meestal gratis zijn, zijn er ook sites waar je een vooraf geconfigureerde VM met Linux kant-klaar kan downloaden en starten.
En als je klaar bent met de OS installatie vooral niet vergeten om een shapshot te draaien; zonder snapshot kun je met elke .exe test het OS en patches opnieuw installeren, met snapshot gooi je de aktuele status weg en ga je terug naar je vanilla OS installatie...
Windows 10 heeft hyper-v kan je gewoon gratis een vm (virtual machine) maken.
Klopt. Wel belangrijk om te vermelden dat dit geldt vanaf de pro editie. De home editie heeft dit niet.
Klopt, niet handig om te doen op een machine waarop je zware games draait echter, want het halveert je FPS bijna (of ik deed iets heel verkeerd, maar heb meerderen op internet erover gehoord).
virtualbox
vmware player

Om zo even een paar (gratis) voorbeelden te noemen.

Zelf torrent ik geen enkel .exe bestand.
Wat ik torrent is enkel videomateriaal of audio materiaal, als daar een .exe bij zit dan gaat ie gelijk de prullenbak in.
software/games koop ik legaal dus vandaar.
Ik heb VirtualBox (https://www.virtualbox.org/) op zowel m'n PC als m'n iMac staan. Het is gratis, en werk als een zonnetje.
Ik heb verschillende Windows versies erin, en verschillende Linux versie. Ik gebruik het voor testdoeleinden..
Sandboxie kost geld, virtualbox is gratis.
Sandboxie kun je gratis gebruiken, na 30 dagen verschijnt er wel een venster bij het gebruik.

"Personal use of Sandboxie is permitted free of charge for as long as you wish.
However, the free version will now pauze for a few seconds. This restriction is removed in the paid version of Sandboxie. In addition, the paid version enables automatic sandboxing for selected programs."

[Reactie gewijzigd door XGmode op 22 september 2016 16:45]

Sandboxes (incl. Sandboxie en Chrome) hebben ook gewoon elke keer weer met exploits te maken. De mooiste exploit was die van het gebruiken van een bepaald lettertype in een programma een poos geleden. 8)7

Een VM is de enige echt veilige manier.
Bedankt, dat moet dan een recente aanpassing zijn geweest. Sandboxie was gratis bij mijn weten. Er zulllen wel andere sandboxes zijn.

Het leuke aan Sandboxie was dat je perfect kon zien welke bestanden er aangemaakt werden, dan kon je ineens zeker zijn of alles veilig was.
Sandboxie is ook gratis. Het heeft echter een aantal beperkingen (zoals max 1 sandbox en een nag-screen na 30 dagen).
Hierbij een aanvullende tip, zelf een VM opbouwen kan lastig zijn als de malware VM aware is of je geen kennis hebt van het monitoren van malware.

Op gratis sites als www.hybrid-analysis.com en malwr.com wordt een gedetailleerd rapport gegenereerd en wordt in sommige gevallen zelfs netwerk dumps en virustotal aantallen meegenomen. De gevaren calculatie van hybrid analysis vind ik erg accuraat en is een goede inschatting of een bestand malafide is.

Edit : Malwr.com werkt momenteel enkel zonder www link aangepast.

[Reactie gewijzigd door henk717 op 22 september 2016 18:47]

Die kende ik nog niet, bedankt voor de tip!
Dat is totaal geen garantie. Virus total (en eigenlijk alle andere virusscanners) lopen altijd een dag of 3 a 4 achter op nieuw typen virussen daarnaast zijn er genoeg ransomware varianten actief die controleren of ze in een sandbox (vm omgeving is een sandbox) worden uitgevoerd en als dit het geval is de payload niet binnenhalen/activeren.

Enige echte oplossing is geen torrents gebruiken maar andere oplossingen.
Ik heb een oude Linux bak waarop ik sporadisch iets download. Sowieso geen software maar luisterboeken. Die zijn moeilijk legaal te vinden. Maar ik vertrouw torrents pertinent niet en daarom alleen op een dichtgetimmerd systeem
Op een Linux bak ben je al een heel stuk beter beschermd ! De kans dat bij een luisterboek een ingenesteld stukje malware zit is ook veel kleiner (ervan uitgaande dat dit geen .exe bestanden zijn).
Dat klopt, je hebt zeker geen garantie of een exe wel/geen malware bevat. Vandaar je het beste iets dergelijks kunt uitvoeren in een tijdelijke VM (die je erna verwijdert, of de snapshot revert).

Ik geloof graag dat de meeste malware te vinden is in shady producten (keygens e.d.), Of je die moet gebruiken mag een gebruiker zelf bepalen. Maar wellicht worden ook legale installatie bestanden besmet met malware, die gedeeld worden via torrents.
Er zijn genoeg legale, gratis software producten te vinden via torrents, omdat het verspreiden ervan vergemakkelijkt en de software maker niet altijd de mogelijkheid heeft voor hosting v/d producten. (In dat geval zou ik zeker blij worden van een SHA-1 checksum, die op de website v/d maker vermeld is, om te verifiŽren of de torrent ongewijzigd is).
Alsof malwaremakers dat zelf niet doen om te voorkomen dat hun malware meteen gedetecteerd wordt.
Inderdaad, vaak zit er gewoon code in om niet te functioneren zodra je de malware in een VM opent.
Door Virustotal halen kunnen ze ook zelf wel inderdaad, zodat ze weten of het detecteerbaar is of niet.
Dit dus. Gewoon een VM gebruiken zonder internet connectie en gaan met die banaan..
Maar dat zegt toch niet alles meteen? Er kunnen net zo goed 2 processen gestart worden. 1 die je verwacht en 1 die je niet wilt.
Ik snap je punt. Ik zelf draai geen actieve .exe files op mijn pc. Wat ik doe op een VM is het uitpakken en patchen van files en/of genereren van serials met zo een generator en dan sloop ik alles eruit en plak ik het in mijn echt omgeving in elkaar ;)
Je hoeft de VM niet te verwijderen, je kan ook voor het installeren een snapshot maken en na het proberen deze snapshot weer terug zetten.
of je download alleen torrents van trusted uploaders? op TPB bijvoorbeeld enkel uploaders met een groene of paarse schedel naast hun naam.
Maar dat geeft ook geen garantie. Het account van de uploader kan gehackt zijn, waardoor alsnog malware wordt geŁpload o.i.d.
ja dat klopt inderdaad, daar had ik nog niet aan gedacht.

Een VM is inderdaad de veiligste manier om dit te testen.
Naar ik hier begrijp wordt er geen gebruik gemaakt van een expoid oid in het torrent-systeem zelf (zou ook client-afhankelijk zijn lijkt me) maar wordt de content van de torrent 'gewoon' geinfecteerd. Ik zie even de nieuwswaarde niet; al vanaf de jaren 80 zit er trojans en ellende in warez. Als je een spel of applicatie download via een torrent, nieuwsgroep of egaal wat voor illegale weg (er vanuit gaande dat het dan niet over freeware of open-source gaat) dan weet je anno 2016 toch wel dat je moet zorgen voor een goeie virusscanner?
Bovendien zou je in geval van een film, wat hier in het artikel als voorbeeld wordt gegeven, ook nog eens een executable oid moeten starten, aangezien er in een filmcontainer mijns inziens geen trojan geknoopt kan worden. Ik weet niet, maar ik open geen exe's als ik een film van internet geplukt zou hebben... Wellicht gaat het hier over de tool waarmee verspreiders hun infecties kunnen bijhouden, maar dat zal elk 'botnet' achtig spul toch wel hebben?

[Reactie gewijzigd door Rataplan_ op 22 september 2016 12:12]

Malware verspreiden via torrents (of warez in algemeen) is niet nieuw, volgens mij zijn het makkelijk infecteren van een bestaande torrents, de beheermogelijkheden en het 'pay per infection'-model wel vernieuwend. Het klinkt alsof je met een paar klikjes in een wizard je een geÔnfecteerde variant kan gaan seeden en vervolgens achterover leunend het dashboard in de gaten houdt terwijl je geld verdient met ransomware.

[Reactie gewijzigd door Rafe op 22 september 2016 12:16]

Met mijn toegegeven beperkte kennis van het BitTorrent protocol zou ik toch durven zeggen dat dit niet zou moeten werken. Bij het aanmaken van een .torrent wordt de inhoud hiervan gehashed en deze hash wordt door iedere nieuwe deelnemer aan de swarm gedownload. Als je bestanden aan de torrent toevoegt verandert dan toch de hash en creŽer je dus per definitie een nieuwe torrent swarm? Hoe kan men dan bestaande torrents "infecteren"?
Het klopt dat het om een nieuwe torrent gaat. Maar dan misbruiken ze graag PEBKAC ;) uit het bronartikel:
In some cases, they were specifically looking for compromised accounts of other users on these online communities that were extracted from botnet logs in order to use them for new seeds on behalf of the affected victims without their knowledge, thus increasing the reputation of the uploaded files.
In addition, several fake landing pages of torrent trackers proposing to install malware using search engine poisoning have also been identified.
Als je al zo'n geÔnfecteerde torrent downloadt, die malware zijn toch gewoon zichtbare bestanden die je kunt zien?

Als ik een random film download, en na het downloaden zie ik twee bestanden: RandomFilm1080p.mkv en FunnyKittenMustSee.jpg.exe, dan is het toch direct duidelijk?

Of hoe komt die malware precies bij slachtoffers terecht en wordt het ook nog eens uitgevoerd?
De naam zoals je die al geeft FunnyKittenMustSee.jpg.exe wordt bij windows al standaard weergegeven als 'FunnyKittenMustSee.jpg'. Daar schuilt voor de meeste mensen al het gevaar!
Ik zou zeggen dat Microsoft hier iets op mag verzinnen dat voor de mensen duidelijk is dat deze notatie verwarrend is. (Of deze .exe/.bat/.cmd met een extra waarschuwing starten!)
Extenties tonen is gewoon een optie en UAC staat standaard aan en vraagt of je de executable vertrouwt. Dat iedereen altijd blindelings op ja of ok klikt kunnen ze natuurlijk niets aan doen.

Microsoft heeft hier jaren terug dus al iets op verzonnen, met de introductie van Vista.
Dat is waarom zoals in het artikel aangegeven veel van dit soort malware verstopt zit in activators. Dit zijn gewoon executables en dus is het niet (direct) duidelijk dat er iets niet helemaal jofel is.
Activators zijn per definitie niet jofel en moeten met grote argwaan gecontroleerd worden.
Wat ik hier niet helemaal uit haal is of deze tool gebundeld is met populaire torrents of dat deze op een of andere manier zijn toegevoegd aan populaire seeds (high seed/leech rates). Als het op een of andere manier geupload kan worden aan bestaande torrents lijkt het mij gevaarlijker dan wanneer er simpelweg een tool toegevoegd wordt aan een nieuwe GTA-V torrent. Daar weten we toch al langer dat je uit moet kijken voor shady torrents omdat deze vaak gebundeld zijn met troep?
Zover ik weet gebeurt dit trouwens ook al op nieuwsgroepen. Ga maar eens zoeken op nzbindex of binsearch, typ daar iets in wat in je opkomt wat je graag wilt hebben en je vindt eerst allerlei 300-400Kb "full hd of full version" dingen van wat je in hebt getypt. Houdt natuurlijk geen ene steek, maarja.
Dat gebeurd ook al sinds p2p netwerken bestaan. Ik herinner met dat Limewire volstond met 500 versies van een nummer van 500kb en enkele versies die varieerden tussen 5 en 10mb.
Met de opvolger Wireshare is dat nog niet anders... ;)

Lijkt me irritanter worden als er een video wordt aangepast om te linken naar kwaadaardige "extra codecs" om af te spelen, en de inhoud een reŽel formaat heeft; 780MB voor een 720p film is niets vreemds.

In hoeverre worden dit soort dingen trouwens gescand door de antivirus / anitmalware programma's?
Daarom altijd een extra zoekoptie aanvinken, minimaal 4000 Kb ;)
Ook dat zegt vrij weinig, zoek maar eens op 'file pumper'
Dank voor de tip, weer wat geleerd.
De procedure om deze tools aan de man te brengen is het maken van een nieuwe torrent met een vergelijkbare naam aan een populaire torrent, en daarna deze als een geek seeden. Mensen gaan mee seeden en krijgen de malware binnen.

Er is geen manier om een bestaande torrent aan te passen, dus zolang je goed kijkt wat je downloadt, is het risico om dit tegen te komen laag. Verifieerde accounts zullen dit niet hebben.
Zoals ik het lees, ook uit de bron, gaat het om populaire bestanden waaraan malware wordt toegevoegd en vervolgens als torrent wordt aangeboden.
Je kunt dus niet malware aan een 'legitieme' populaire torrent toevoegen. Anders zou het wel heel erg oppassen worden inderdaad.
Nu veranderd er niet zoveel, het is alleen bekend dat het gebeurt en aangetoond dat torrents dus onveilig zijn.
Nu veranderd er niet zoveel, het is alleen bekend dat het gebeurt en aangetoond dat torrents dus onveilig zijn.
:? Elke file die je van internet download is onveilig! Alleen omdat via torrent vaak illegaal materiaal gedownload wordt, is het risico groter dat daar misbruik van gemaakt wordt door derde.

Het is niet de manier waarmee je het download, maar de plaats waar je het haalt!
Ah dat scheelt, was ook dezelfde vraag die het bericht bij mij opriep. Maar dat betekent dat je nog steeds safe zit als je maar bij de juiste bekende uploaders blijft.
Nee, dat is een gevaarlijke veronderstelling. Hoe weet je dat die populaire niet geÔnfecteerd is?
Juist dat weet je niet. Sterker als crimineel zijnde is het veel aantrekkelijker om een betrouwbaar iets te infecteren
Maar het is dus niet mogelijk om de bestaande torrents te infecteren, maar alleen om een nieuwe geinfecteerde te uploaden. Als de uploader dus betrouwbaar is heb je niks te vrezen.
Best slim hoe ze activators kiezen als "slachtoffers". Mensen die deze dingen downloaden zullen ook hoogst waarschijnlijk AL hun spellen downloaden.

Ik weet uit ervaring van vrienden dat zij 0,0 controle doen op de Torrents, maar het gewoon proberen of het werkt, met alle gevolgen van dien. En dan wordt ik natuurlijk gebeld om alles weer te repareren.

Het is een heel schokkend iets, en ook 1 van de motivaties dat ik al een aantal jaar alles legaal aanschaf en ook alleen via vertrouwde websites (fabrikant) download.
Dat niet alleen.
Enerzijds heeft een activator niet zelden een hele reeks mappen, wat het verbergen van een obscure file veel makkelijker maakt (als je een EXE ziet naast uw AVI, weet je wel dat er iets mis is), anderzijds moet je voor perfect werkende, "legitieme" soms uw virusscanner uitzetten om de correcte werking te garanderen.
Als je dat doet bij een geÔnfecteerde activator, ben je helemaal de sigaar.
Je zag het ook bij net uitgekomen afleveringen van bekende TV series; uploaders met bekende naamgevingsvarianten en duizenden seed/leechers, vlak na de release waardoor ze bovenaan stonden in de lijst. Vervolgens wordt er een aflevering.zip gedownload, die je uiteraard niet wilt uitpakken...
Ik zag inderdaad niet lang geleden nog een bestand (kan me niet meer herinneren wat het was) boven aan staan met een paar duizend seeds (en ondertussen al flink wat leechers) die nog geen 10 minuten oud was, 0 comments en een .zip of .rar bestand. Toen gingen er inderdaad wel wat alarmbellen rinkelen en ben ik voor een ander gegaan van een bekende uploader. Half uur later stond de torrent ook niet meer op de site.

Altijd op blijven letten dus.
Haha mooi bericht. Ik zou activators ALTIJD met argwaan benaderen/gebruiken. Wel mooi dat het toch(nog steeds) een van de meest gebruikte methodes is. :+
p.s. dit geld voor Šlle software verkregen uit illegale/onduidelijke bron.
Wie gaat er nou nu nog (in deze tijd) executables downloaden via illegale bronnen, dat is gewoon vragen om problemen. Vergelijkbaar met het als katvanger willen functioneren voor criminelen, uiteidenlijk raak je zelf flink in de problemen.

Eigenlijk is het niets nieuws, anders dan dat het proces van malware in torrent plaatsen, is geautomatiseerd met een tool. Dit proces zouden ze volledig kunnen automatiseren: een tool die random volledig zelfstandig software torrents zoekt op torrent sites, vervolgens download, infecteert en weer upload. Illegaal achteroverleunend geld verdienen aan illegale downloaders en de illegale software torrents om zeep helpen. Het probleem lost zichzelf een beetje op.
tjah, moet je maar niet van die obscure windows activatie tools downloaden :X
Ūk heb maar 1 torrent leverancier voor mij KMS server ;) meer heb ik niet nodig.
Pure safe ....

Het is aan de gene die pas beginnen met ''downloaden van tools'' dat ze moeten oppassen.
Oudere generatie weet onderhand heus wel wat wel of wat niet goed is.
Wat wordt hier precies bedoeld met "torrents"?
Hebben we het over .torrent bestanden of de swarm zelf? Iedereen is toch al over op magnets? Sowieso nooit begrepen waarom nog .torrent links bestaan.
Nee, volgensmij gaat het gewoon om malware met de data van de te downloaden content.. Dus je moet dan wel zelf nog altijd die malware starten..


Om te kunnen reageren moet je ingelogd zijn



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True