이상한 멀웨어는 피해자가 해적 사이트를 방문하는 것을 방지합니다.
SophosLabs 전문가 쓰다 감염된 컴퓨터의 HOSTS 파일을 수정하여 해적 사이트를 차단하는 이상한 멀웨어를 발견했습니다..
티그는 악의적 인 캠페인이 10 월부터 활성화되었습니다. 2020 1 월까지 2021, 그러나 결과적으로, 공격자’ 사이트가 오프라인되었습니다.“최근에 접한 가장 이상한 사례 중 하나는: 내 실험실 동료 중 한 명이 최근에 가장 일반적인 맬웨어 동기와 일치하지 않는 것으로 보이는 악성 캠페인에 대해 말했습니다.. 암호를 훔치거나 컴퓨터 소유자로부터 몸값을 훔치려 고하는 대신, 이 악성 코드는 감염된 시스템의 HOSTS 파일을 수정하여 수많은 불법 복제 소프트웨어 사이트에 대한 피해자의 액세스를 차단합니다.”, — 앤드류 브란트, SophosLabs 수석 수사관은.
Brandt에 따르면, 멀웨어가 적극적으로 사용하는 도구, 불법 복제 소프트웨어를 사용하여 Discord 및 토렌트 추적기로. 불화에, 악성 코드는 불법 복제 된 소프트웨어로 가장 한 별도의 실행 파일로 배포되었습니다., 아래 그림과 같이.
첫눈에, The Pirate Bay와 같은 급류 추적기에서, 멀웨어는 일반적인 배포의 마스크로 배포되었습니다., 읽어보기도, thepiratebay.org로 돌아가는 NFO 파일 및 바로 가기.
하나, 현실에서, 그러한 급류의 많은 파일은 의미가 없으며 “그루터기” 악성 코드를 불법 복제 된 소프트웨어 나 영화가 포함 된 일반적인 토렌트 파일처럼 보이게하기 위해.
“설치 프로그램과 관련된 파일을 자세히 살펴본 후, 실제 사용이 없으며 아카이브에 일반적인 모양을 제공하기위한 것임이 분명해집니다., 일반적으로 Bittorrent를 통해 배포되는 콘텐츠, 무작위 데이터를 추가하여 해시 값을 늘릴 수도 있습니다. ", — 전문가 설명.
사용자가 이러한 악성 코드를 다운로드하여 실행 한 경우, 피해자 시스템의 HOSTS 파일을 수정합니다., 해적 사이트에 대한 수많은 항목 추가 (주로 The Pirate Bay와 관련이 있습니다.) 가리키는 127.0.0.1.
이 악성 코드는 또한 해커가 통제하는 원격 사이트에 연결되어 운영자에게 가짜 해적 소프트의 이름을 전달했습니다., 사용자가 감염 되었기 때문에. 웹 서버는 일반적으로 IP 주소를 등록하기 때문에, 공격자는 불운 한 해적의 IP 주소와 해적이 다운로드하려는 소프트웨어 또는 영화의 이름을 모두 알게되었습니다..
공격자가이 정보를 사용하는 이유는 알려져 있지 않습니다., 하지만 연구원은 해커가 ISP와 공유 할 수 있다고 경고합니다., 저작권 보유자, 또는 심지어 법 집행 기관. 또한, 멀웨어 제작자는이 데이터를 추가 공격에 사용할 수 있습니다., 예를 들면, 침묵을 위해 사용자로부터 돈을 갈취.
내가 또한 쓴 것을 상기시켜 드리겠습니다 전문가들은 훔친 알려지지 않은 맬웨어를 발견했습니다. 1.2 TB의 기밀 데이터.
