Pirate Matryoshka: nuovo Trojan su The Pirate Bay

7 Mar 2019

La battaglia contro i torrent va avanti da anni ormai e qualsiasi tentativo di mettere in guardia dalle minacce sui torrent viene visto con circospezione. Si sentono e leggono frasi del tipo: “ecco che arrivano quelli che hanno in mano i copyright e che vogliono spaventarci con racconti dell’orrore!”. Ebbene, non tutte sono storie campate in aria.

Oggi parliamo di Andrea, che vuole scaricare un file molto importante da un tracker di torrent molto aggressivo. Ciò che Andrea non sa è che, se da un lato utilizza i torrent per risparmiare, dall’altro ci sono individui con un basso livello di coscienza sociale che li utilizzano per fare soldi sulla sua pelle. Ad esempio, gli scammer potrebbero sfruttare una nuova tecnica individuata di recente su The Pirate Bay, grazie alla quale hanno iniziato a caricare (seed) numerose copie di software craccati, sostituendo i file originali con altri dannosi di loro proprietà.

Come funziona Pirate Matryoshka, il malware dei torrent su The Pirate Bay

Quando Andrea apre il file caricato dagli hacker, l’installer mostra una falsa finestra di autenticazione di The Pirate Bay. Il protagonista della nostra storia dà per scontato che sia tutto ok e inserisce username e password, che vanno a finire direttamente nelle mani dei creatori del malware. A partire da ora, l’account di Andrea verrà utilizzato per nuovi falsi upload, e per questo motivo non sarà possibile identificare il file falso analizzando solamente la data di registrazione dell’account.

 Il malware Pirate Matryoshka mostra finestre di phishing per rubare username e password degli account su The Pirate Bay.

Le false finestre di autenticazione aiutano gli scammer ad accedere agli account degli utenti, che saranno poi sfruttati per creare nuovi upload come trappole esplosive.

In ogni caso, non è in questo modo che gli scammer ci guadagnano economicamente. Ciò si deve ai programmi partner, che pagano per ogni installazione di certi software sul computer della vittima. Insomma, oltre all’applicazione di cui Andrea ha effettivamente bisogno, riceve anche dei programmi extra, e non pochi.

Pirate Matryoshka installa una serie di applicazioni sul computer dell'utente, alcune delle quali dannose.

L’installer di un software partner ha portato a termine il suo lavoro.

Andrea probabilmente avrebbe avuto qualche possibilità di scamparla se avesse scaricato un file simile da qualche altra parte. Coloro che creano gli installer per i software partner, nonostante giochino con una zona grigia a livello legale, lasciano comunque la possibilità all’utente di rifiutare. Anche se non è facile trovare l’opzione per farlo:

Vedete quel tasto grigio in trasparenza, nell'angolo di sinistra? Serve per evitare di installare tutta una serie di software extra.

Oltre all’applicazione che state cercando, vi beccherete una serie di software extra. Con Pirate Matryoshka non potrete esimervi.

Tuttavia, analizzando l’infezione su The Pirate Bay che abbiamo battezzato Pirate Matryoshka, si deduce che non è possibile evitare gli extra, per via di certe funzionalità del software. Prima di avviare il processo di installazione, il malware attiva dei moduli autoclicker che spuntano automaticamente tutte le caselle presenti, non permettendovi di rifiutare gli extra.

Conclusioni

Se state scaricando qualcosa dai tracker di torrent, preparatevi mentalmente a imbattervi in qualche malware, soprattutto se state scaricando software, che inevitabilmente comprendono dei file eseguibili.

Comunque sia, sarebbe ingenuo pensare che non vi toccherà la stessa sorte di Andrea solamente stando alla larga dai torrent e dai software craccati. Potreste trovare un cosiddetto “partner installer” praticamente ovunque, per cui in teoria dovreste evitare di scaricare da Internet qualsiasi file eseguibile o, in alternativa, dovreste dotarvi di un tool antivirus affidabile. Kaspersky Internet Security, ad esempio, è in grado di identificare e neutralizzare tutti i componenti di Pirate Matryoshka e di altri malware dello stesso tipo.