Pirate Matryoshka: um Trojan no Pirate Bay

26 mar 2019

A batalha contra Torrents ocorre faz tanto tempo que qualquer aviso sobre ameaças está fadado a encarar a incredulidade: “Lá vem os donos de direitos autorais com histórias de terror de novo!” Bem, nem toda história é uma mentira.
Conheça o caso do André, que queria baixar um arquivo muito importante de um Torrent tracker. Ele não sabia que, embora use torrents para economizar, outras pessoas com menores níveis de responsabilidade social os usam para tirar uma grana de usuários assim. Por exemplo, poderiam fazer isso por meio de um golpe recentemente identificado no The Pirate Bay, no qual golpistas começam a semear uma série de cópias de softwares crackeados, substituindo os arquivos originais por outros maliciosos de sua autoria.

Como funciona o Pirate Matryoshka, o malware torrent do Pirate Bay

Quando André executa o arquivo que chegou dos hackers, o instalador exibe uma janela de autenticação falsa do Pirate Bay. Nosso herói vê a janela como garantia e insere credenciais de login e senha, as quais vão diretamente para os criadores do malware. Agora, a conta do André é usada para criar uploads falsos – o motivo pelo qual não é possível identificar uma conta falsa por meio de seu registro.

Por isso, o roubo de conta não é de onde o golpe tira o dinheiro. Essa honra cabe aos programas de parceiro, que pagam por instalação de certos softwares nas máquinas das vítimas. Então, junto com o programa que André de fato precisa, ele recebe alguns extras. Muitos extras.

Embora o software bônus nem sempre se trate de um malware – segundo nossa estimativa, aplicativos maliciosos correspondem por um em cinco – o que não facilita a vida do usuário. Desse dia em diante, André terá que lutar contra uma legião de programas de otimização que ocultam a tela com anúncios, ferramentas de navegador que mudam a página inicial e adicionam banners e até trojans em tudo quanto é site.

Veja bem, o André teria tido uma chance de não ser vítima, se ele tivesse pego um arquivo similar de outro lugar; os criadores de instaladores de softwares parceiros, utilizam de uma área ‘cinza’ juridicamente, que deixa a critério do usuário a instalação do software. Você precisa escavar um pouco por essa opção, porém:

Se analisarmos a infecção no Pirate Bay que chamamos de Pirate Matryoshka, não há forma de pular os extras – por conta de certas funções do software. Antes de desengatilhar o processo de instalação, o malware executa um autoclicker que seleciona todas as caixas automaticamente, o deixando sem chance.

Conclusão

Se você estiver baixando algo de Torrent trackers, esteja preparado para dar de cara com malware. Isso é especialmente válido para downloads de software, os quais inevitavelmente contém arquivos executáveis.

Contudo, seria ingênuo assumir que o destino de André nunca se repita com você, caso fique longe de softwares crackeados em torrents. Você pode encontrar “instalações de parceiros” em qualquer lugar, de modo que para isso, deve-se evitar executáveis baixados da internet de forma geral ou usar uma solução de segurança confiável. O Kaspersky Internet Security, por exemplo, pode detectar e neutralizar cada componente do Pirate Matryoshka e outros do seu tipo.