Un étrange malware empêche les victimes de visiter des sites pirates
Experts des SophosLabs écrivez qu'ils ont découvert un étrange malware qui bloque les sites pirates en modifiant le fichier HOSTS sur la machine infectée.
TLa campagne malveillante était active à partir d'octobre 2020 à janvier 2021, mais en conséquence, les attaquants’ le site s'est déconnecté."L'un des cas les plus étranges que j'ai rencontrés ces derniers temps: L'un de mes collègues de laboratoire m'a récemment parlé d'une campagne malveillante dont l'objectif principal ne semble pas correspondre à tous les motifs de malware les plus courants.. Au lieu d'essayer de voler des mots de passe ou d'extorquer une rançon au propriétaire de l'ordinateur, ce malware bloque l'accès de la victime à un grand nombre de sites logiciels piratés en modifiant le fichier HOSTS sur le système infecté”, - Andrew Brandt, Le chercheur principal des SophosLabs a déclaré.
D'après Brandt, le malware utilisait activement les outils contre lesquels il luttait, en tant que trackers Discord et torrent avec des logiciels piratés à diffuser. Sur Discord, le malware a été distribué sous forme d'exécutables séparés qui prétendaient être des logiciels piratés, comme le montre l'illustration ci-dessous.
À première vue, sur des trackers torrent comme The Pirate Bay, les logiciels malveillants ont été distribués sous le masque de distributions courantes, qui avait aussi readme, Fichiers NFO et raccourcis ramenant à thepiratebay.org.
toutefois, en réalité, de nombreux fichiers dans de tels torrents n'avaient aucun sens et ont été ajoutés en tant que “bout” pour que le malware ressemble à un fichier torrent typique avec un logiciel piraté ou un film.
« Après avoir examiné de plus près les fichiers associés au programme d'installation, il devient clair qu'ils n'ont aucune utilité pratique et sont destinés à donner aux archives l'aspect habituel, dont le contenu est généralement distribué via Bittorrent, ils peuvent également augmenter les valeurs de hachage en ajoutant des données aléatoires ", — explique l'expert.
Si l'utilisateur a téléchargé et exécuté un tel logiciel malveillant, cela modifierait le fichier HOSTS sur le système de la victime, ajout de nombreuses entrées pour les sites pirates (principalement lié à The Pirate Bay) pointant vers 127.0.0.1.
Le malware s'est également connecté à un site distant sous le contrôle de hackers et a transmis à ses opérateurs le nom du faux logiciel pirate, à cause duquel l'utilisateur a été infecté. Étant donné que les serveurs Web enregistrent généralement les adresses IP, les attaquants ont appris à la fois l'adresse IP du pirate malchanceux et le nom du logiciel ou du film que le pirate essayait de télécharger.
On ne sait pas pourquoi ces informations sont utilisées par des attaquants, mais le chercheur prévient que les pirates peuvent le partager avec les FAI, titulaires de droits d'auteur, ou même les forces de l'ordre. Également, les créateurs de logiciels malveillants peuvent utiliser ces données dans d'autres attaques, par example, extorquer de l'argent aux utilisateurs pour le silence.
Permettez-moi de vous rappeler que j'ai également écrit que Des experts ont découvert un malware inconnu qui a volé 1.2 To de données confidentielles.