Το παράξενο κακόβουλο λογισμικό εμποδίζει τα θύματα να επισκέπτονται ιστότοπους πειρατών
Εμπειρογνώμονες της SophosLabs γράφω ότι ανακάλυψαν ένα παράξενο κακόβουλο λογισμικό που μπλοκάρει τους πειρατικούς ιστότοπους τροποποιώντας το αρχείο HOSTS στον μολυσμένο υπολογιστή.
ΤΗ κακόβουλη καμπάνια ήταν ενεργή από τον Οκτώβριο 2020 έως τον Ιανουάριο 2021, αλλά ως αποτέλεσμα, οι επιτιθέμενοι’ ο ιστότοπος έγινε εκτός σύνδεσης.«Μία από τις πιο περίεργες περιπτώσεις που έχω συναντήσει τελευταία: Ένας από τους συναδέλφους μου στο εργαστήριο μου είπε πρόσφατα για μια κακόβουλη καμπάνια της οποίας ο πρωταρχικός στόχος δεν φαίνεται να ευθυγραμμίζεται με όλα τα πιο κοινά κίνητρα κακόβουλου λογισμικού. Αντί να προσπαθείτε να κλέψετε κωδικούς πρόσβασης ή να εκβιάσετε λύτρα από τον κάτοχο του υπολογιστή, αυτό το κακόβουλο λογισμικό εμποδίζει την πρόσβαση του θύματος σε μεγάλο αριθμό πειρατικών ιστότοπων λογισμικού τροποποιώντας το αρχείο HOSTS στο μολυσμένο σύστημα”, - Άντριου Μπράντ, Ο κύριος ερευνητής της SophosLabs είπε.
Σύμφωνα με τον Brandt, το κακόβουλο λογισμικό χρησιμοποίησε ενεργά εργαλεία που πολεμούσε, ως Discord και torrent trackers με πειρατικό λογισμικό για εξάπλωση. Σε διαφωνία, το κακόβουλο λογισμικό διανεμήθηκε ως ξεχωριστά εκτελέσιμα που προσποιήθηκαν ως πειρατικό λογισμικό, όπως φαίνεται στην παρακάτω εικόνα.
Με την πρώτη ματιά, σε ιχνηλάτες torrent όπως το The Pirate Bay, κακόβουλο λογισμικό διανεμήθηκε κάτω από τη μάσκα των κοινών διανομών, που είχε επίσης readme, Αρχεία και συντομεύσεις NFO που οδηγούν πίσω στο thepiratebay.org.
Ωστόσο, στην πραγματικότητα, πολλά αρχεία σε τέτοια torrents δεν είχαν κανένα νόημα και προστέθηκαν ως “στέλεχος” για να κάνει το κακόβουλο λογισμικό να μοιάζει με ένα τυπικό αρχείο torrent με πειρατικό λογισμικό ή ταινία.
«Αφού ρίξουμε μια πιο προσεκτική ματιά στα αρχεία που σχετίζονται με το πρόγραμμα εγκατάστασης, καθίσταται σαφές ότι δεν έχουν πρακτική χρήση και προορίζονται να δώσουν στο αρχείο τη συνήθη εμφάνιση, το οποίο συνήθως έχει περιεχόμενο που διανέμεται μέσω του Bittorrent, μπορεί επίσης να αυξήσουν τις τιμές κατακερματισμού προσθέτοντας τυχαία δεδομένα ", - εξηγεί ο ειδικός.
Εάν ο χρήστης κατεβάσει και εκτελέσει τέτοιο κακόβουλο λογισμικό, θα τροποποιούσε το αρχείο HOSTS στο σύστημα του θύματος, προσθέτοντας πολλές καταχωρήσεις για ιστότοπους πειρατών (σχετίζονται κυρίως με το The Pirate Bay) στοχεύοντας σε 127.0.0.1.
Το κακόβουλο λογισμικό συνδέθηκε επίσης με έναν απομακρυσμένο ιστότοπο υπό τον έλεγχο των χάκερ και παρέδωσε στους χειριστές του το όνομα του ψεύτικου πειρατή, λόγω του οποίου ο χρήστης μολύνθηκε. Δεδομένου ότι οι διακομιστές ιστού συνήθως καταγράφουν διευθύνσεις IP, οι εισβολείς έμαθαν τόσο τη διεύθυνση IP του άτυχου πειρατή όσο και το όνομα του λογισμικού ή της ταινίας που προσπαθούσε να κατεβάσει ο πειρατής.
Δεν είναι γνωστό γιατί αυτές οι πληροφορίες χρησιμοποιούνται από εισβολείς, αλλά ο ερευνητής προειδοποιεί ότι οι χάκερ μπορούν να το μοιραστούν με ISP, κάτοχοι πνευματικών δικαιωμάτων, ή ακόμη και υπηρεσίες επιβολής του νόμου. Επίσης, Οι δημιουργοί κακόβουλου λογισμικού μπορούν να χρησιμοποιήσουν αυτά τα δεδομένα σε περαιτέρω επιθέσεις, για παράδειγμα, εκβιασμός χρημάτων από χρήστες για σιωπή.
Επιτρέψτε μου να σας υπενθυμίσω ότι το έγραψα και αυτό Οι ειδικοί ανακάλυψαν ένα άγνωστο κακόβουλο λογισμικό που έκλεψε 1.2 Φυματίωση εμπιστευτικών δεδομένων.
