A furcsa rosszindulatú programok megakadályozzák, hogy az áldozatok kalózoldalakat látogassanak meg
A SophosLabs szakértői írj hogy felfedeztek egy furcsa rosszindulatú programot, amely blokkolja a kalózoldalakat a HOSTS fájl módosításával a fertőzött gépen.
Ta rosszindulatú kampány októbertől volt aktív 2020 januárig 2021, hanem ennek eredményeként, a támadók’ a webhely offline állapotba került.„Az egyik legfurcsább eset, amivel mostanában találkoztam: Az egyik laboratóriumi kollégám nemrégiben mesélt egy rosszindulatú kampányról, amelynek elsődleges célja, úgy tűnik, nincs összhangban a leggyakoribb rosszindulatú programok motívumaival.. Ahelyett, hogy jelszavakat próbálna ellopni vagy váltságdíjat kicsikarni a számítógép tulajdonosától, ez a rosszindulatú program blokkolja az áldozat hozzáférését számos kalózszoftver-webhelyhez azáltal, hogy módosítja a HOSTS fájlt a fertőzött rendszeren”, – Andrew Brandt, – mondta a SophosLabs vezető kutatója.
Brandt szerint, a kártevő aktívan használt eszközöket, amelyek ellen harcolt, mint Discord és torrent trackerek kalózszoftverrel, hogy elterjedjenek. Discordon, a rosszindulatú programot külön végrehajtható fájlokként terjesztették, amelyek kalózszoftvernek tettetik magukat, az alábbi ábrán látható módon.
Első pillantásra, olyan torrentkövetőkön, mint a The Pirate Bay, rosszindulatú programokat a gyakori disztribúciók maszkja alatt terjesztettek, amely szintén readme volt, NFO-fájlok és parancsikonok, amelyek visszavezetnek a thepiratebay.org oldalra.
azonban, a valóságban, sok fájlnak az ilyen torrentekben nem volt értelme, és a “csonk” hogy a rosszindulatú program úgy nézzen ki, mint egy tipikus torrent fájl kalózszoftverrel vagy filmmel.
„Miután közelebbről megvizsgáltuk a telepítőhöz tartozó fájlokat, világossá válik, hogy nincs gyakorlati hasznuk, és az archívum szokásos megjelenését hivatott adni, amely általában a Bittorrenten keresztül terjesztett tartalmat tartalmaz, véletlenszerű adatok hozzáadásával növelhetik a hash értékeket is”, – magyarázza a szakember.
Ha a felhasználó letöltött és futtatott egy ilyen kártevőt, módosítaná a HOSTS fájlt az áldozat rendszerében, számos bejegyzés hozzáadása a kalóz oldalakhoz (leginkább a The Pirate Bay-hez kapcsolódik) rámutatva 127.0.0.1.
A rosszindulatú program egy távoli oldalhoz is csatlakozott a hackerek ellenőrzése alatt, és átadta üzemeltetőinek a hamis kalózszoft nevét., ami miatt a felhasználó megfertőződött. Mivel a webszerverek általában IP-címeket regisztrálnak, A támadók megtudták a szerencsétlen kalóz IP-címét és annak a szoftvernek vagy filmnek a nevét, amelyet a kalóz megpróbált letölteni..
Nem ismert, hogy miért használják ezt az információt a támadók, de a kutató arra figyelmeztet, hogy a hackerek megoszthatják az internetszolgáltatókkal, szerzői jogok tulajdonosai, vagy akár a rendvédelmi szervek. Is, a rosszindulatú programok készítői ezeket az adatokat további támadásokhoz használhatják fel, például, pénzt kicsikarni a felhasználóktól hallgatásért.
Hadd emlékeztesselek, hogy én is ezt írtam A szakértők egy ismeretlen kártevőt fedeztek fel, amely lopott 1.2 TB bizalmas adat.
