Atualização, 07 de agosto 12:25 (UTC-03): Atualizamos este post para mencionar os usos legais da tecnologia dos torrents e adicionar dados da nossa telemetria, com o intuito de mostrar como os cibercriminosos costumam se aproveitar do ecossistema P2P para propagar criações maliciosas. Este artigo não busca denunciar a tecnologia em si mesma.
Os torrents possuem muitos usos legítimos em vários segmentos. Os sistemas operacionais e o software open-source os utilizam para colocar à disposição as suas novas versões. Os gamers os veem como o seu centro de atualização, e alguns músicos inclusive o usam para fazer chegar o seu material aos seus públicos.
No entanto, a sua popularidade entre os usuários o torna um interessante vetor de propagação de ameaças para os cibercriminosos. Desde o início de 2016, a telemetria da ESET tem detectado quase 15 milhões de situações nas quais o download de código malicioso estava relacionado a um dos clientes P2P ou serviços de compartilhamento de arquivos mais populares.
E não são só os arquivos dos torrents que podem ser utilizados com fins maliciosos, considerando que ocasionalmente os clientes do BitTorrent (um software necessário para realizar o download ou fazer seed de arquivos nesse ecossistema) também são comprometidos. Isso foi visível em diversas situações que ocorreram no ano passado, quando cibercriminosos focaram em usuários do macOS alterando a versão do aplicativo Transmission, um cliente do BitTorrent legítimo (muito popular) e, em seguida, o usaram para propagar malware.
O primeiro ataque foi registrado em março de 2016, quando o ransomware KeRanger era baixado. Apesar da rápida reação dos desenvolvedores de Transmission, que eliminaram a versão trojanizada do programa apenas após algumas horas depois do aparecimento no site oficial, afetou a milhares de vítimas em todo o mundo.
os torrents possuem um alcance massivo e podem infectar equipamentos ou usá-los com fins maliciosos
E pior ainda, os criadores usaram um algoritmo criptográfico que não impossível de quebrar, o qual deixava as informações das vítimas totalmente inacessíveis.
Outro caso semelhante ocorreu em agosto de 2016. O malware para macOS chamado OSX/Keydnap se propagou usando outra versão alterado do software Transmission, introduzindo um backdoor permanente nos dispositivos infectados e roubando credenciais armazenadas no aplicativo Keychain.
Novamente, a equipe oficial do programa atuou de forma rápida e eliminou o aplicativo trojanizado do site em questão de minutos, logo após receber uma notificação dos pesquisadores da ESET.
No entanto, a ameaça representada pelo torrents vai mais além desses casos. Os arquivos baixados também podem ser uma ameaça, pois podem se passar por um software, jogos, música ou filmes populares, mas também podem terminar sendo algo completamente diferente (e normalmente malicioso).
Isso foi feito pelo backdoor Sathurbot, uma ameaça registrada pelos pesquisadores da ESET em abril de 2017. Os dispositivos eram infectados com torrents maliciosos e eram adicionados a uma botnet que varria a Internet em busca de contas de administrador de sites em WordPress. Em seguida, eram realizados ataques distribuídos de força bruta contra os mesmos.
Para garantir a propagação, o Sathurbot se aproveita das contas de WordPress comprometidas para colocar o torrent malicioso onde queira. Como consequência, esses arquivos acabam tendo um bom seed, o que os torna aparentemente legítimos para os usuários mais desatentos.
O pacote do filme contém um arquivo com extensão de vídeo, acompanhado por um aparente instalador de códex e um arquivo de texto com explicações. O software que é baixado contém o que parece ser um instalador (executável) e um pequeno arquivo de texto. O objetivo de ambos é fazer com que a vítima execute o arquivo de DLL do Sathurbot.
Em fevereiro de 2017, os cibercriminosos se aproveitam de sites de BitTorrent para novamente distribuir um novo ransomware chamado “Patcher” que se passa por um aplicativo para baixar software pirata.
O torrent contém um único arquivo ZIP, ou seja, um pacote de aplicativos. Os pesquisadores da ESET viram duas versões desse malware, uma que se passava pelo “Patcher” para Adobe Premiere Pro e uma para Microsoft Office para Mac. No entanto, a análise não foi tão profunda e pode ser que hajam outras versões circulando.
Embora o malware não fosse tão desenvolvido, a sua rotina de criptografia era o suficientemente efetiva para evitar que as vítimas pudessem ter acesso aos arquivos afetados. Além disso, o ransomware não tinha nenhum código para se comunicar com um servidor de C&C.
Isso significa que não existiam formas de enviar a chave de criptografia dos arquivos para os operadores do malware, ou seja, os cibercriminosos não teriam como fornecer uma chave de descriptografia para as vítimas.
Esses são alguns exemplos de clientes e arquivos de BitTorrent usados como vetores de propagação de ameaças. Os cibercriminosos se aproveitam dos mesmos para poderem chegar a grandes quantidades de usuários, com o intuito de infectá-los com malware ou conseguir acessar aos computadores e usá-los com fins maliciosos.
Para estar protegido, sugerimos que você não utilize softwares sem licença, pois o custo de uma infecção pode ser muito mais maior. Além disso, você poderá evitar muitas dores de cabeça.
No entanto, caso queira baixar o torrents, tenha em conta essas possíveis situações de risco e preste atenção antes de clicar.
Para saber mais sobre esses casos, não deixe de ler as nossas publicações diárias.
Leia também: Guia para identificar e proteger-se contra golpes na internet.