Подписывайтесь на каналы "SecurityLab" в 
Telegram и 
Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Группа разработчиков пиратского ПО 9 месяцев шпионила за пользователями
Группа разработчиков пиратского ПО 9 месяцев шпионила за пользователями
Alexander Antipov
В нелегальных релизах, выложенных в Сеть, содержались вирусы, собиравшие информацию о жертвах.
Если верить представителям RIAA и MPAA, любой торрент-портал несет в себе вредоносную угрозу пользователю, и каждый, кто хотя бы раз загрузил контент из файлообменника, подвержен риску потери важных данных или другим угрозам.
Несмотря на то, что реальная ситуация не настолько плачевна, как бы хотелось некоторым представителям отрасли, пользователи торрент-трекеров регулярно становятся жертвами киберпреступников.
Так, по данным портала TorrentFreak, в феврале текущего года в Сети появилась группировка MeGaHeRTZ, позволяющая скачивать свой контент бесплатно. Первым выложенным релизом от разработчиков стала пиратская копия BurnAware Professional v6.0 с дополнением, обходящим защиту продукта.
Далее группа выложила в Сеть ряд других программ, среди которых SmartFTP, DVDFab, FlashFXP, Incredimail, Traktor и сотни других, с которыми поставлялись бесплатные обновления.
Несмотря на одобрение и популярность среди пользователей, оказалось, что группа MeGaHeRTZ вела «грязную игру». Так, установив предлагаемое пиратами ПО, пользователи начали замечать необычную активность межсетевого экрана. Проблема заключалась в том, что обновление для антивируса Malwarebytes Anti-Malware Pro использовало для исходящего трафика порт 25, обычно используемый для отправки электронной почты.
Обнаруживший несоответствие пользователь также отметил, что установленное ПО собирает информацию с компьютера. Данные, собранные с инфицированной системы, включали имя пользователя, имя компьютера, серийный номер, полученный из Windows API и IP-адрес. Далее собранная информация передавалась на один из трех предопределенных электронных адресов, в которых в различных измененных формах присутствовало название группы MeGaHeRTZ.
В ходе дальнейшего исследования релизов, предоставленных пиратами, было установлено, что идентичный механизм кражи данных присутствовал в нескольких из предложенных программ.
По словам исследователей, пока неизвестно, с какой целью группа собирала пользовательские данные. Однако в настоящий момент MeGaHeRTZ прекратила свое существование (по крайней мере, в том виде, в котором действовала на протяжении 9 месяцев). Так, с 9 ноября пиратское сообщество заблокировало каждый возможный релиз группы.
Тем не менее, ранее загруженные в Сеть релизы остаются в интернете, и удалить их все просто невозможно, что делает инфицированные продукты потенциально опасными.
По мнению экспертов, единственным способом избежать инфицирования является полный отказ от загрузки какого-либо ПО, ранее выложенного в Сеть представителями MeGaHeRTZ.
