Mærkelig malware forhindrer ofre i at besøge piratsider

SophosLabs eksperter skrive at de har opdaget en mærkelig malware, der blokerer piratsider ved at ændre HOSTS-filen på den inficerede maskine.

Thans ondsindede kampagne var aktiv fra oktober 2020 til januar 2021, men som et resultat, angriberne’ webstedet gik offline.

”En af de mærkeligste tilfælde, jeg er stødt på for nylig: En af mine laboratoriekolleger fortalte for nylig mig om en ondsindet kampagne, hvis primære mål ikke synes at være i overensstemmelse med alle de mest almindelige malware-motiver. I stedet for at prøve at stjæle adgangskoder eller afpresse en løsesum fra ejeren af ​​computeren, denne malware blokerer offerets adgang til et stort antal piratkopierede softwaresites ved at ændre HOSTS-filen på det inficerede system”, - Andrew Brandt, SophosLabs hovedforsker sagde.

Ifølge Brandt, malware brugte aktivt værktøjer, som det kæmpede mod, som Discord og torrent trackere med piratkopieret software til at sprede. On Discord, malware blev distribueret som separate eksekverbare filer, der foregav at være piratkopieret software, som vist i illustrationen nedenfor.

mærkelig malware piratwebsteder

Ved første øjekast, på torrent trackers som The Pirate Bay, malware blev distribueret under masken for almindelige distributioner, som også havde readme, NFO-filer og genveje, der fører tilbage til thepiratebay.org.

Imidlertid, i virkeligheden, mange filer i sådanne torrents gav ingen mening og blev tilføjet som en “stub” at få malware til at ligne en typisk torrentfil med piratkopieret software eller en film.

”Efter at have kigget nærmere på de filer, der er knyttet til installationsprogrammet, det bliver klart, at de ikke har nogen praktisk anvendelse og er beregnet til at give arkivet det sædvanlige udseende, som normalt har indhold distribueret gennem Bittorrent, de kan også øge hashværdierne ved at tilføje tilfældige data ”, - forklarer eksperten.

Hvis brugeren downloadede og kørte sådan malware, det ville ændre HOSTS-filen på offerets system, tilføje adskillige poster til piratsider (mest relateret til The Pirate Bay) peger på 127.0.0.1.

mærkelig malware piratwebsteder

Malwaren oprettede også forbindelse til et eksternt sted under kontrol af hackere og sendte navnet på den falske pirat soft til dets operatører, som brugeren blev inficeret med. Da webservere normalt registrerer IP-adresser, angribere lærte både IP-adressen til den uheldige pirat og navnet på den software eller film, som piraten prøvede at downloade.

Det vides ikke, hvorfor disse oplysninger bruges af angribere, men forskeren advarer om, at hackere kan dele det med internetudbydere, indehavere af ophavsret, eller endda retshåndhævende myndigheder. Også, malware skabere kan bruge disse data i yderligere angreb, for eksempel, afpresse penge fra brugerne til tavshed.

Lad mig minde dig om, at jeg også skrev det Eksperter har opdaget en ukendt malware, der stjal 1.2 TB fortrolige data.

Helga Smith

Jeg var altid interesseret i datalogi, især datasikkerhed og temaet, som kaldes i dag "datavidenskab", siden mine tidlige teenagere. Før du kommer ind i Virus Removal-teamet som chefredaktør, Jeg arbejdede som cybersikkerhedsekspert i flere virksomheder, inklusive en af ​​Amazons entreprenører. En anden oplevelse: Jeg har undervisning på universitetene i Arden og Reading.

Efterlad et Svar

Dette websted bruger Akismet at reducere spam. Lær hvordan din kommentar data behandles.

Tilbage til toppen knap