奇妙なマルウェアは、被害者が海賊サイトにアクセスするのを防ぎます

SophosLabsの専門家 書く 感染したマシンのHOSTSファイルを変更することで海賊サイトをブロックする奇妙なマルウェアを発見したこと.

「私が最近遭遇した最も奇妙なケースの1つ: 私のラボの同僚の1人が最近、悪意のあるキャンペーンについて話してくれました。その主な目標は、最も一般的なマルウェアの動機のすべてと一致していないようです. パスワードを盗んだり、コンピューターの所有者から身代金を強要したりする代わりに, このマルウェアは、感染したシステムのHOSTSファイルを変更することにより、被害者が多数の海賊版ソフトウェアサイトにアクセスするのをブロックします。”, —アンドリュー・ブラント, SophosLabsプリンシパルインベスティゲーターは言った.

ブラントによると, マルウェアは、それが戦ったツールを積極的に使用しました, 海賊版ソフトウェアを使ったDiscordおよびtorrentトラッカーとして. 不和について, マルウェアは、海賊版ソフトウェアを装った個別の実行可能ファイルとして配布されました, 下の図に示すように.

一目見ただけで, The PirateBayのような急流トラッカーで, マルウェアは一般的な配布のマスクの下で配布されました, これもreadmeを持っていました, thepiratebay.orgに戻るNFOファイルとショートカット.

しかしながら, 現実に, そのような急流の多くのファイルは意味をなさず、として追加されました “スタブ” マルウェアを海賊版ソフトウェアまたは映画を含む典型的なトレントファイルのように見せるため.

「インストーラーに関連するファイルを詳しく調べた後, それらは実用的ではなく、アーカイブに通常の外観を与えることを目的としていることが明らかになります。, これは通常、Bittorrentを通じて配信されるコンテンツを持っています, また、ランダムデータを追加することでハッシュ値を増やすこともできます。」, —専門家は説明します.

ユーザーがそのようなマルウェアをダウンロードして実行した場合, 被害者のシステム上のHOSTSファイルを変更します, 海賊サイトに多数のエントリを追加 (主にThePirateBayに関連しています) を指しています 127.0.0.1.

マルウェアはまた、ハッカーの制御下にあるリモートサイトに接続し、そのオペレーターに偽の海賊ソフトの名前を渡しました。, ユーザーが感染したため. Webサーバーは通常IPアドレスを登録するため, 攻撃者は、不運な海賊のIPアドレスと、海賊がダウンロードしようとしたソフトウェアまたは映画の名前の両方を知りました。.

この情報が攻撃者によって使用される理由は不明です, しかし、研究者はハッカーがそれをISPと共有できると警告しています, 著作権者, または法執行機関でさえ. さらに, マルウェアの作成者は、このデータをさらなる攻撃に使用できます, 例えば, 沈黙のためにユーザーから金をゆすり取る.

私もそう書いたことを思い出させてください 専門家は、盗んだ未知のマルウェアを発見しました 1.2 TBの機密データ.