卡巴斯基实验室研究人员发现了一种新的恶意软件，这种恶意软件以经典的俄罗斯玩偶命名，通过海盗湾的torrent tracker网站进行传播，旨在通过广告软件和工具感染用户电脑。将恶意软件传播到设备上。这种恶意软件携带一个特洛伊木马下载程序伪装成日常电脑使用的合法软件的破解版本。当用户安装运行后，会显示一份海盗湾网页的副本，该页面实际上是一个网络钓鱼页面，要求受害者输入凭据以继续安装。稍后，这个恶意软件使用这些证书创建新的seed服务，分发更多的盗版材料。

那么为什么黑客会选择海盗湾的torrent tracker网站来传播恶意软件呢？

首先了解一个名词——BitTorrent tracker（中文可称：BT服务器、tracker服务器等）。

BitTorrent tracker是帮助BitTorrent协议（软件工程师Bram Cohen发明了该协议，俗称“BT下载”） 在节点与节点之间做连接的服务器。 BitTorrent客户端下载一开始就要连接到tracker，从tracker获得其他客户端IP地址后，才能连接到其他客户端下载。只有下载了使用BT协议的应用软件，用户才能从海盗湾网站下载文件。

海盗湾（The Pirate Bay，缩写：TPB）是一个专门储存、分类及搜寻BT种子的网站，2008年1月，其同时在线人数突破1千万，管理的种子超过100万，成为世界最大的BT网站（BitTorrent tracker），是网络分享与下载的重镇之一。

因此海盗湾的torrent tracker网站就成为了那些希望分发恶意代码网络犯罪分子的热门目标，尤其是那些被用户搜索的非法内容以及被用户忽略系统警告的内容更是成为了黑客们的目标。

海盗湾使用已建立的seed服务器传播盗版，并且没有已知的恶意活动历史，因为其良好声誉，所以潜在的受害者没有理由怀疑要下载的文件是恶意木马。卡巴斯基的研究表明，到目前为止，网络钓鱼链接已经被访问了大约1万次。

恶意软件的攻击可以在没有用户凭据的状态下继续进行，并且它将进一步解包恶意模块，包括一个恶意点击器，除此之外，还可以检查触发广告软件安装程序的“同意”框，用未经请求的软件“淹没“受害者的设备。

卡巴斯基表示，在受害者电脑上安装的程序当中大约70%是广告软件，10%被检测为可以将其他恶意软件带到电脑上的恶意软件。

• SquirtDanger

去年，网络犯罪分子利用一种叫做SquirtDanger的恶意软件在全球范围内实施网络攻击。SquirtDanger是采用C＃（C Sharp，由微软公司发布的一种面向对象的、运行于.NET Framework之上的高级程序设计语言）编写的。允许攻击者实现多种恶意目的，如屏幕截图和窃取存储在浏览器中密码，甚至是窃取加密货币。SquirtDange主要通过用于宣传非法盗版软件的恶意广告进行分发。

• WebCobra

去年被报道的恶意软件WebCobra，利用受害者的计算能力来挖掘Monero和Zcash等加密货币。WebCobra根据受害者的系统配置挖掘两种加密货币，Monero和Zcash。静默地释放和安装Cryptonight加密货币挖矿机或Claymore的Zcash挖矿机。主要感染的区域有巴西、南非和美国。

• BlackEnergy

BlackEnergy（黑暗力量）最早可以追溯到2007年，由俄罗斯地下黑客组织开发并广泛使用在BOTNET，主要用于建立僵尸网络，对定向目标实施DDoS攻击。此后，Black Energy的攻击开始转向政治目标。自2014年夏季，陆续从乌克兰政府及企事业单位截获Black Energy样本。Black Energy有一套完整的生成器，可以生成感染受害主机的客户端程序和架构在C&C(指挥和控制)服务器的命令生成脚本。攻击者利用这套黑客软件可以方便地建立僵尸网络，只需在C&C服务器下达简单指令，僵尸网络受害主机便统一执行其指令。

参考来源：

• cnBeta.COM

• 链向财经

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文~