Seltsame Malware hindert Opfer daran, Piratenseiten zu besuchen
SophosLabs-Experten schreiben dass sie eine seltsame Malware entdeckt haben, die Piratenseiten blockiert, indem sie die HOSTS-Datei auf dem infizierten Computer modifiziert.
TDie bösartige Kampagne war ab Oktober aktiv 2020 bis Januar 2021, aber infolgedessen, die Angreifer’ Seite ging offline.„Einer der seltsamsten Fälle, die mir in letzter Zeit begegnet sind: Einer meiner Laborkollegen hat mir kürzlich von einer bösartigen Kampagne erzählt, deren primäres Ziel nicht mit allen gängigen Malware-Motiven übereinstimmt. Anstatt zu versuchen, Passwörter zu stehlen oder ein Lösegeld vom Besitzer des Computers zu erpressen, Diese Malware blockiert den Zugriff des Opfers auf eine große Anzahl von Raubkopien von Software-Sites, indem sie die HOSTS-Datei auf dem infizierten System modifiziert.”, — Andrew Brandt, SophosLabs Principal Investigator sagte.
Laut Brandt, die Malware nutzte aktiv Tools, gegen die sie kämpfte, als Discord- und Torrent-Tracker mit raubkopierter Software zur Verbreitung. Auf Discord, die Malware wurde als separate ausführbare Datei verteilt, die vorgab, raubkopierte Software zu sein, wie in der Abbildung unten gezeigt.
Auf den ersten Blick, auf Torrent-Trackern wie The Pirate Bay, Malware wurde unter der Maske gängiger Distributionen verbreitet, das hatte auch Readme, NFO-Dateien und Verknüpfungen, die zurück zu thepiratebay.org führen.
jedoch, in Wirklichkeit, viele Dateien in solchen Torrents machten keinen Sinn und wurden als “Stub” um die Malware wie eine typische Torrent-Datei mit Raubkopien oder einem Film aussehen zu lassen.
„Nachdem Sie sich die mit dem Installationsprogramm verknüpften Dateien genauer angesehen haben, es wird deutlich, dass sie keinen praktischen Nutzen haben und dem Archiv das gewohnte Aussehen verleihen sollen, die normalerweise Inhalte hat, die über Bittorrent verbreitet werden, sie können auch die Hash-Werte erhöhen, indem sie zufällige Daten hinzufügen.“, — erklärt der Experte.
Wenn der Benutzer eine solche Malware heruntergeladen und ausgeführt hat, es würde die HOSTS-Datei auf dem System des Opfers ändern, Hinzufügen zahlreicher Einträge für Piratenseiten (hauptsächlich im Zusammenhang mit The Pirate Bay) zeigt auf 127.0.0.1.
Die Malware verband sich auch mit einer entfernten Site unter der Kontrolle von Hackern und gab den Namen der gefälschten Piratensoftware an ihre Betreiber weiter, aufgrund dessen der Benutzer infiziert wurde. Da Webserver normalerweise IP-Adressen registrieren, Angreifer erfuhren sowohl die IP-Adresse des unglücklichen Piraten als auch den Namen der Software oder des Films, den der Raubkopierte herunterladen wollte.
Es ist nicht bekannt, warum diese Informationen von Angreifern verwendet werden, aber der Forscher warnt davor, dass Hacker es mit ISPs teilen können, Urheberrechtsinhaber, oder sogar Strafverfolgungsbehörden. Ebenfalls, Malware-Ersteller können diese Daten für weitere Angriffe verwenden, beispielsweise, Geld von Benutzern für Schweigen erpressen.
Lass mich dich daran erinnern, dass ich das auch geschrieben habe Experten haben eine unbekannte Malware entdeckt, die gestohlen wurde 1.2 TB vertrauliche Daten.
