Strano malware impedisce alle vittime di visitare siti pirata
Esperti dei SophosLabs Scrivi che hanno scoperto uno strano malware che blocca i siti pirata modificando il file HOSTS sulla macchina infetta.
Ta campagna malevola era attiva da ottobre 2020 a gennaio 2021, ma di conseguenza, gli attaccanti’ il sito è andato offline.“Uno dei casi più strani in cui mi sono imbattuto ultimamente: Uno dei miei colleghi di laboratorio mi ha recentemente parlato di una campagna dannosa il cui obiettivo principale non sembra allinearsi con tutti i motivi di malware più comuni. Invece di cercare di rubare password o estorcere un riscatto al proprietario del computer, questo malware blocca l'accesso della vittima a un gran numero di siti di software piratato modificando il file HOSTS sul sistema infetto”, — Andrew Brandt, SophosLabs Principal Investigator ha detto.
Secondo Brandt, il malware ha utilizzato attivamente gli strumenti contro cui ha combattuto, come Discord e tracker torrent con software piratato da diffondere. su discordia, il malware è stato distribuito come eseguibili separati che fingevano di essere software piratato, come mostrato nell'illustrazione qui sotto.
A prima vista, su tracker torrent come The Pirate Bay, il malware è stato distribuito sotto la maschera di distribuzioni comuni, che aveva anche readme, File NFO e scorciatoie che riconducono a thepiratebay.org.
però, in realtà, molti file in tali torrent non avevano alcun senso e sono stati aggiunti come a “stub” per far sembrare il malware un tipico file torrent con software piratato o un film.
“Dopo aver dato un'occhiata più da vicino ai file associati al programma di installazione, diventa chiaro che non hanno alcun uso pratico e hanno lo scopo di dare all'archivio il solito aspetto, che di solito ha contenuti distribuiti tramite Bittorrent, possono anche aumentare i valori hash aggiungendo dati casuali”, — spiega l'esperto.
Se l'utente ha scaricato ed eseguito tale malware, modificherebbe il file HOSTS sul sistema della vittima, aggiungendo numerose voci per i siti pirata (principalmente legato a The Pirate Bay) puntando a 127.0.0.1.
Il malware si è connesso anche a un sito remoto sotto il controllo di hacker e ha passato ai suoi operatori il nome del falso software pirata, a causa della quale l'utente è stato infettato. Poiché i server Web di solito registrano gli indirizzi IP, gli aggressori hanno appreso sia l'indirizzo IP dello sfortunato pirata che il nome del software o del film che il pirata stava cercando di scaricare.
Non è noto il motivo per cui queste informazioni vengono utilizzate dagli aggressori, ma il ricercatore avverte che gli hacker possono condividerlo con gli ISP, detentori del copyright, o anche le forze dell'ordine. Anche, i creatori di malware possono utilizzare questi dati in ulteriori attacchi, per esempio, estorcere denaro agli utenti per il silenzio.
Vi ricordo che l'ho anche scritto Gli esperti hanno scoperto un malware sconosciuto che ha rubato 1.2 TB di dati riservati.
