Vreemde malware voorkomt dat slachtoffers piratensites bezoeken
SophosLabs-experts schrijven dat ze een vreemde malware hebben ontdekt die piratensites blokkeert door het HOSTS-bestand op de geïnfecteerde machine te wijzigen.
TDe kwaadaardige campagne was actief vanaf oktober 2020 tot januari 2021, maar als resultaat, de aanvallers’ site ging offline.“Een van de vreemdste gevallen die ik de laatste tijd ben tegengekomen: Een van mijn labcollega's vertelde me onlangs over een kwaadaardige campagne waarvan het primaire doel niet lijkt te stroken met alle meest voorkomende malwaremotieven. In plaats van te proberen wachtwoorden te stelen of losgeld af te dwingen van de eigenaar van de computer, deze malware blokkeert de toegang van het slachtoffer tot een groot aantal illegale softwaresites door het HOSTS-bestand op het geïnfecteerde systeem te wijzigen”, — Andrew Brandt, SophosLabs hoofdonderzoeker zei:.
Volgens Brandt, de malware gebruikte actief tools waartegen het vocht, als Discord en torrent-trackers met illegale software om te verspreiden. Op Discord, de malware werd gedistribueerd als afzonderlijke uitvoerbare bestanden die deden alsof het illegale software was, zoals weergegeven in de onderstaande afbeelding:.
Op het eerste gezicht, op torrent-trackers zoals The Pirate Bay, malware werd verspreid onder het masker van veelvoorkomende distributies, die ook readme had, NFO-bestanden en snelkoppelingen die terugleiden naar thepiratebay.org.
Echter, in werkelijkheid, veel bestanden in dergelijke torrents sloegen nergens op en werden toegevoegd als a “stomp” om de malware eruit te laten zien als een typisch torrent-bestand met illegale software of een film.
“Na een nadere blik op de bestanden die zijn gekoppeld aan het installatieprogramma, het wordt duidelijk dat ze geen praktisch nut hebben en bedoeld zijn om het archief de gebruikelijke uitstraling te geven, die meestal inhoud heeft die wordt gedistribueerd via Bittorrent, ze kunnen ook de hash-waarden verhogen door willekeurige gegevens toe te voegen ", — legt de deskundige uit.
Als de gebruiker dergelijke malware heeft gedownload en uitgevoerd, het zou het HOSTS-bestand op het systeem van het slachtoffer wijzigen, talrijke vermeldingen voor piratensites toevoegen (meestal gerelateerd aan The Pirate Bay) wijzen naar 127.0.0.1.
De malware maakte ook verbinding met een externe site onder controle van hackers en gaf de naam van de nep-piraatsoft door aan de exploitanten, waardoor de gebruiker geïnfecteerd is geraakt. Omdat webservers meestal IP-adressen registreren, aanvallers leerden zowel het IP-adres van de ongelukkige piraat als de naam van de software of film die de piraat probeerde te downloaden.
Het is niet bekend waarom deze informatie door aanvallers wordt gebruikt, maar de onderzoeker waarschuwt dat hackers het kunnen delen met ISP's, houders van auteursrechten, of zelfs wetshandhavingsinstanties. Ook, makers van malware kunnen deze gegevens gebruiken bij verdere aanvallen, bijvoorbeeld, geld afpersen van gebruikers voor stilte.
Laat me je eraan herinneren dat ik dat ook schreef Experts hebben onbekende malware ontdekt die gestolen 1.2 TB aan vertrouwelijke gegevens.
