Podivný malware brání obětem v návštěvě pirátských stránek
Odborníci SophosLabs napsat že objevili podivný malware, který blokuje pirátské stránky úpravou souboru HOSTS na infikovaném počítači.
Tškodlivá kampaň byla aktivní od října 2020 do ledna 2021, ale jako výsledek, útočníci’ web byl offline."Jeden z nejpodivnějších případů, na který jsem v poslední době narazil.": Jeden z mých laboratorních kolegů mi nedávno řekl o škodlivé kampani, jejíž primární cíl se nezdá být v souladu se všemi nejběžnějšími motivy malwaru. Místo toho, abyste se pokusili ukrást hesla nebo vydírat výkupné od vlastníka počítače, tento malware blokuje přístup oběti k velkému počtu pirátských softwarových stránek úpravou souboru HOSTS v infikovaném systému”, - Andrew Brandt, Řekl hlavní vyšetřovatel SophosLabs.
Podle Brandta, malware aktivně používal nástroje, proti kterým bojoval, jak se šíří Discord a torrenty s pirátským softwarem. Na sváru, malware byl distribuován jako samostatné spustitelné soubory, které předstírají, že jsou pirátským softwarem, jak je znázorněno na obrázku níže.
Na první pohled, na torrent trackerech jako The Pirate Bay, malware byl distribuován pod maskou běžných distribucí, který měl také readme, Soubory NFO a klávesové zkratky vedoucí zpět na thepiratebay.org.
nicméně, v realitě, mnoho souborů v takových torrentech nedávalo žádný smysl a byly přidány jako “pahýl” aby malware vypadal jako typický torrentový soubor s pirátským softwarem nebo filmem.
"Po bližším pohledu na soubory spojené s instalačním programem.", je zřejmé, že nemají žádné praktické využití a jejich účelem je dát archivu obvyklý vzhled, který má obvykle obsah distribuovaný přes Bittorrent, mohou také zvýšit hodnoty hash přidáním náhodných dat “, - vysvětluje odborník.
Pokud si uživatel takový malware stáhl a spustil, upravilo by to soubor HOSTS v systému oběti, přidávání četných záznamů pro pirátské stránky (většinou souvisí s The Pirate Bay) ukázal na 127.0.0.1.
Malware se také připojil ke vzdálenému webu pod kontrolou hackerů a předal svým operátorům jméno falešného pirátského softu, kvůli kterému byl uživatel nakažen. Protože webové servery obvykle registrují adresy IP, útočníci se dozvěděli jak IP adresu nešťastného piráta, tak i název softwaru nebo filmu, který se pirát pokoušel stáhnout.
Není známo, proč útočníci tyto informace používají, ale výzkumník varuje, že hackeři to mohou sdílet s ISP, držitelé autorských práv, nebo dokonce donucovací orgány. Taky, Tvůrci malwaru mohou tato data použít při dalších útocích, například, vydírání peněz od uživatelů za ticho.
Dovolte mi připomenout, že jsem to také napsal Odborníci objevili neznámý malware, který ukradl 1.2 TB důvěrných údajů.