Pirate Matryoshka: un troyano en Pirate Bay

11 Mar 2019

La lucha contra los Torrent lleva ya tanto tiempo que todo intento de advertencia acerca de las amenazas en los torrents se recibe con desconfianza: “¡Aquí vienen de nuevo los dueños de los derechos de autor con sus historias de terror!”. Pero resulta ser que no toda historia es mentira.

Tomemos el caso de Andrés. Él no podía resistirse a descargar un archivo muy importante desde un rastreador de Torrent. Pero lo que Andrés no sabía es que, mientras que él usa torrents para ahorrarse algún dinero, existen sujetos con muy poca responsabilidad social que los usan para aprovecharse de Andrés. Por ejemplo, ellos podrían lograr esto valiéndose de un esquema que recientemente hemos identificado en The Pirate Bay, donde los estafadores han empezado a propagar una serie de copias de software crackeado, reemplazando la fuente original del archivo con sus propios archivos maliciosos.

Cómo funciona el Pirate Matryoshka, el malware de torrents en Pirate Bay

Cuando Andrés ejecutó el archivo que los hackers suplantaron, el instalador desplegó una ventana falsa de autenticación de Pirate Bay. Nuestro héroe no encontró nada sospechoso en la ventana e introdujo sus credenciales de inicio de sesión y contraseña, la cual naturalmente fue a dar a manos de los creadores del malware. Ahora la cuenta de Andrés se utiliza para crear nuevas cargas de archivos falsas: esa es la razón por la cual no puedes identificar un archivo falso con tan solo consultar la fecha de registro de la cuenta.

El malware Pirate Matryoshka despliega ventanas de phishing para robar credenciales de inicio de sesión y contraseñas de las cuentas en Pirate Bay.

Las ventanas falsas de autenticación ayudan a los estafadores a ganar acceso a las cuentas, las cuales se usan a su vez para crear más cargas de archivo “con trampa”.

 

Sin embargo, los estafadores no obtienen dinero del secuestro de cuentas. Ese honor corresponde a los programas de socios, los cuales pagan por cada instalación de determinado software en el equipo de la víctima. De este modo, junto con la aplicación que necesita, Andrés se lleva un programa extra. Varios de ellos, en realidad.

Aunque el software adicional no siempre es malware, calculamos que las aplicaciones maliciosas constituyen solamente una de cada cinco. Y esto no le pone las cosas más fáciles al usuario. A partir de ese día, Andrés tendrá que lidiar con una legión de programas de optimización que saturarán su pantalla con anuncios, barras de herramientas del navegador que cambiarán la página de inicio y añadirán sus banners a cada sitio web; e incluso troyanos.

El Pirate Matryoshka instala una serie de aplicaciones distractoras en la computadora del usuario, alguna de ellas incluso son maliciosas.

Un instalador de software de socios ha concluido su labor.

 

Ahora bien, Andrés hubiera tenido alguna posibilidad de defenderse si hubiera ejecutado un archivo descargado de alguna otra parte; los creadores de los programas de socios, a pesar de encontrarse en una zona gris en términos legales, le dan al usuario la oportunidad de rechazar. Para encontrar esa opción, sin embargo, tendrás que buscar un poco más:

La aplicación que buscabas viene con mucho software extra. Tratándose de Pirate Matryoshka, simplemente no puedes despreciar el favor.

 

Pero si te fijas en la infección de Pirate Bay, la cual hemos llamado Pirate Matryoshka, no hay modo de escaparse a los extras, debido a ciertas características del software. Antes de iniciar el proceso de instalación, el malware ejecutará módulos autoclicker que automáticamente seleccionarán todas las casillas, dejándote sin la posibilidad de rechazar.

Conclusión

Si estás descargando contenido de los rastreadores de Torrent, prepárate para encontrar malware. Esto es especialmente relevante para las descargas de software, las cuales contienen invariablemente archivos ejecutables.

Sin embargo, sería ingenuo pensar que la suerte de Andrés no podría ser la tuya si tan sólo te mantienes lejos de los torrents y del software crackeado. Básicamente, puedes encontrar “instaladores de socios” en todos lados, así que o evitas todos los archivos ejecutables descargados de internet, o tienes a la mano una herramienta antivirus confiable. Kaspersky Internet Security, por ejemplo, puede detectar y neutralizar todos los componentes del Pirate Matryoshka y otros de su mismo tipo.