Outo haittaohjelma estää uhreja vierailemasta merirosvosivustoissa
SophosLabs-asiantuntijat kirjoittaa että he ovat löytäneet oudon haittaohjelman, joka estää piraattisivustot muokkaamalla tartunnan saaneen koneen HOSTS-tiedostoa.
Thaitallinen kampanja oli aktiivinen lokakuusta lähtien 2020 tammikuuhun 2021, mutta seurauksena, hyökkääjät’ sivusto siirtyi offline-tilaan."Yksi kummallisimmista tapauksista, joita olen törmännyt viime aikoina: Yksi laboratoriotovereistani kertoi minulle äskettäin haitallisesta kampanjasta, jonka ensisijainen tavoite ei tunnu olevan sopusoinnussa kaikkien yleisimpien haittaohjelmien motiivien kanssa. Sen sijaan, että yrität varastaa salasanoja tai kiristää lunnaita tietokoneen omistajalta, tämä haittaohjelma estää uhrin pääsyn useille laittomasti ohjelmistosivustoille muokkaamalla tartunnan saaneen järjestelmän HOSTS-tiedostoa”, - Andrew Brandt, SophosLabsin johtava tutkija sanoi.
Brandtin mukaan, haittaohjelma käytti aktiivisesti työkaluja, joita vastaan taisteli, erimielisyyksien ja torrentien seurantaohjelmina, joissa on piraattiohjelmistoja. Erimielisyydessä, haittaohjelma jaettiin erillisinä suoritustiedostoina, jotka teeskentelivät olevan piraattiohjelmia, kuten alla olevassa kuvassa näkyy.
Ensi silmäyksellä, torrent-seurannoissa, kuten The Pirate Bay, haittaohjelmia jaettiin yhteisten jakelujen peitteen alla, jolla oli myös readme, NFO-tiedostot ja pikakuvakkeet, jotka johtavat takaisin thepiratebay.org-sivustoon.
kuitenkin, todellisuudessa, monilla tällaisissa torrenteissa olevilla tiedostoilla ei ollut mitään järkeä ja ne lisättiin “tynkä” jotta haittaohjelma näyttää tyypilliseltä torrent-tiedostolta, jossa on piraattiohjelmisto tai elokuva.
"Tarkasteltuasi tarkemmin asennusohjelmaan liittyviä tiedostoja, käy selväksi, että niillä ei ole käytännön käyttöä ja niiden on tarkoitus antaa arkistolle tavallinen ilme, jonka sisältöä jaetaan yleensä Bittorrentin kautta, ne voivat myös lisätä hajautusarvoja lisäämällä satunnaisia tietoja ”, - selittää asiantuntija.
Jos käyttäjä latasi ja suoritti tällaisen haittaohjelman, se muuttaisi HOSTS-tiedostoa uhrin järjestelmässä, lisäämällä lukuisia merkintöjä merirosvosivustoille (enimmäkseen liittyvät Pirate Bay) osoittaa 127.0.0.1.
Haittaohjelma liittyi myös etäsivustoon hakkereiden valvonnassa ja välitti operaattoreilleen väärennetyn merirosvo-ohjelmiston nimen, jonka vuoksi käyttäjä sai tartunnan. Koska verkkopalvelimet rekisteröivät yleensä IP-osoitteet, hyökkääjät oppivat sekä epäonnisen merirosvon IP-osoitteen että ohjelmiston tai elokuvan nimen, jota merirosvo yritti ladata.
Ei tiedetä, miksi hyökkääjät käyttävät näitä tietoja, mutta tutkija varoittaa, että hakkerit voivat jakaa sen Internet-palveluntarjoajien kanssa, tekijänoikeuksien haltijat, tai jopa lainvalvontaviranomaiset. Myös, haittaohjelmien luojat voivat käyttää näitä tietoja uusissa hyökkäyksissä, esimerkiksi, rahan kiristäminen käyttäjiltä hiljaisuuden vuoksi.
Haluan muistuttaa teitä siitä, että kirjoitin myös sen Asiantuntijat ovat löytäneet tuntemattoman varastetun haittaohjelman 1.2 TB luottamuksellisia tietoja.
