Pirate Matryoshka: neuer Pirate-Bay-Trojaner

13 Mrz 2019

Der ewige Kampf gegen Torrents wird bereits seit so vielen Jahren ausgefechtet, dass jedem Versuch, vor einer Sicherheitsbedrohung durch Torrents zu warnen, Misstrauen entgegengebracht wird. Sie lesen und hören dann beispielsweise Sätze wie „Achtung, Copyright-Inhaber im Anmarsch, die uns mit ihren Horrorgeschichten erschecken möchten!“. Aber nicht jede dieser Geschichten ist frei erfunden.

Dürfen wir Ihnen Andrew, den Protagonisten unserer heutigen Geschichte, vorstellen? Andrew hatte lediglich vor, eine überaus wichtige Datei über einen bekannten Torrent-Tracker herunterladen. Was er allerdings nicht wusste, ist, dass die Medaille auch in diesem Fall zwei Seiten hat: denn während er Torrents verwendet, um Geld zu sparen, nutzen andere diese wiederum, um mit Andrew Geld zu machen. Dies ist beispielsweise mithilfe eines Schemas möglich, das wir kürzlich bei dem web-basierten Indizierer The Pirate Bay identifiziert haben, wo Betrüger einen Haufen raubkopierter Softwaredaten gesät hatten, bei denen die ursprünglichen Quelldateien durch eigene schädliche Dateien ersetzt worden waren.

So funktioniert Pirate Matryoshka, die Torrent-Malware von Pirate Bay

Als Andrew die von den Hackern eingeschleuste Datei ausführte, öffnete das Installationsprogramm ein offenbar gefälschtes Pirate-Bay-Authentifizierungsfenster. Doch Andrew machte sich nicht viel daraus und gab, ohne ein zweites Mal darüber nachzudenken, seine Anmeldedaten ein, die sofort an die Malware-Entwickler übermittelt wurden. Jetzt wird der Account unseres Protagonisten zum Erstellen neuer Fake-Uploads verwendet – und genaus aus diesem Grund können Sie Fakes nicht anhand des Registrierungsdatums eines Kontos erkennen.

Die Malware Pirate Matryoshka zeigt Pishing-Fenster, um Anmeldedaten zu Pirate-Bay-Konten zu entwenden.

Fake-Authentifizierungsfenster helfen Betrügern beim Zugriff auf Nutzerkonten, die dann oftmals genutzt werden, um weitere schädliche Downloads zu erstellen.

Allerdings verdienen die Betrüger nicht durch Account-Hijacking ihr Geld, sondern durch Partnerprogramme, die für jede Installation bestimmter Software auf dem Computer eines Opfers eine spezifische Geldsumme zahlen. Mit anderen Worten: Andrew lädt mit der Anwendung, die er eigentlich benötigt, auch noch jede Menge zusätzliche Extras herunter.

Obwohl es sich bei dieser Bonus-Software nicht immer um Malware handelt – unseren Schätzungen zufolge ist lediglich 1 von 5 Apps bösartig – machen sie dem Nutzer das Leben nicht gerade einfacher. Denn seit dem Download der Torrent-Datei muss Andrew gegen Legionen von Optimierungsprogrammen, die seinen Bildschirm mit lästigen Anzeigen und nervigen Browser-Symbolleisten überhäufen, die die Startseite ändern und jeder Website lästige Banner hinzufügen, und sogar gegen Trojaner kämpfen.

 Pirate Matryoshka installiert eine Reihe störender Apps auf dem Rechner des Nutzern; einige von ihnen sind sogar schädlich.

Ein Partner-Software-Installer ist seiner Aufgabe gerecht geworden.

Tatsächlich hätte Andrew eine Chance gehabt, wenn er eine ähnliche Download-Datei von einer anderen Seite heruntergeladen und ausgeführt hätte; Die Hersteller von Partnersoftware-Installationsprogrammen geben dem Benutzer, trotz rechtlicher Grauzone, oftmals die Möglichkeit, die Installation zusätzlicher Software abzulehnen. Sie müssen jedoch ein wenig suchen, um diese Option zu finden:

Sehen Sie die graue, scheinbar inaktive Schaltfläche unten links? Über diesen Button kann die Installation zusätzlicher Software vermieden werden.

Mit der von Ihnen gesuchten Anwendung wird zusätzliche Software geliefert, deren Installation nicht abgelehnt werden kann.

Wenn Sie jedoch einen Blick auf die Pirate-Bay-Infektion, die wir Pirate Matryoshka getauft haben, werfen, sehen Sie, dass die lästigen Extras aufgrund bestimmter Softwarefunktionen nicht übersprungen oder abgelehnt werden können. Vor dem Auslösen des Installationsvorgangs führt die Malware Autoclicker-Module aus, die jedes Kontrollkästchen automatisch markieren und keine Chance zur Ablehnung bieten.

Fazit

Wenn Sie Dateien von Torrent-Trackern herunterladen, sollten Sie sich immer auf Malware-Angriffe gefasst machen. Dies gilt insbesondere für Software-Downloads, die unweigerlich ausführbare Dateien enthalten.

Es wäre jedoch naiv anzunehmen, dass Ihnen eine ähnliche Situation erspart bleibt, solange Sie sich von Torrents und raubkopierter Software fernhalten. „Partner-Installer“ sind so gut wie überall zu finden, sodass Sie entweder alle aus dem Internet heruntergeladenen und ausführbaren Dateien vermeiden oder ein zuverlässiges Antivirenprogramm installieren müssen bzw. sollten. Kaspersky Internet Security kann beispielsweise alle Komponenten des Trojaners Pirate Matryoshka und andere seiner Art erkennen und neutralisieren.