Merkelig skadelig programvare hindrer ofre i å besøke piratsider
SophosLabs eksperter skrive at de har oppdaget en merkelig skadelig programvare som blokkerer piratsider ved å endre HOSTS-filen på den infiserte maskinen.
Thans ondsinnede kampanje var aktiv fra oktober 2020 til januar 2021, men som et resultat, angriperne’ nettstedet gikk frakoblet.“En av de merkeligste tilfellene jeg har kommet over i det siste: En av laboratoriekollegene mine fortalte meg nylig om en ondsinnet kampanje hvis primære mål ikke ser ut til å være i tråd med alle de vanligste skadelige motivene. I stedet for å prøve å stjele passord eller presse løsepenger fra eieren av datamaskinen, denne skadelige programvaren blokkerer offerets tilgang til et stort antall piratkopierte programvaresider ved å endre HOSTS-filen på det infiserte systemet”, - Andrew Brandt, SophosLabs hovedforsker sa.
I følge Brandt, malware brukte aktivt verktøy som det kjempet mot, som Discord og torrent trackers med piratkopiert programvare å spre. On Discord, skadelig programvare ble distribuert som separate kjørbare filer som later til å være piratkopiert programvare, som vist i illustrasjonen nedenfor.
Ved første øyekast, på torrent trackers som The Pirate Bay, skadelig programvare ble distribuert under masken for vanlige distribusjoner, som også hadde readme, NFO-filer og snarveier som fører tilbake til thepiratebay.org.
derimot, i virkeligheten, mange filer i slike torrenter ga ingen mening og ble lagt til som en “stubbe” for å få skadelig programvare til å se ut som en typisk torrentfil med piratkopiert programvare eller en film.
“Etter å ha sett nærmere på filene som er tilknyttet installasjonsprogrammet, det blir klart at de ikke har praktisk bruk og er ment å gi arkivet det vanlige utseendet, som vanligvis har innhold distribuert gjennom Bittorrent, de kan også øke hashverdiene ved å legge til tilfeldige data ”, - forklarer eksperten.
Hvis brukeren lastet ned og kjørte slik skadelig programvare, det ville endre HOSTS-filen på offerets system, legge til flere oppføringer for piratsider (mest relatert til The Pirate Bay) peker på 127.0.0.1.
Den skadelige programvaren koblet også til et eksternt nettsted under kontroll av hackere og ga navnet til den falske piraten myk til operatørene, som brukeren ble smittet av. Siden webservere vanligvis registrerer IP-adresser, angripere lærte både IP-adressen til den uheldige piraten og navnet på programvaren eller filmen som piraten prøvde å laste ned.
Det er ikke kjent hvorfor denne informasjonen brukes av angripere, men forskeren advarer om at hackere kan dele den med Internett-leverandører, rettighetshavere, eller til og med politimyndigheter. Også, malware skaperne kan bruke disse dataene i ytterligere angrep, for eksempel, utpressing av penger fra brukere for stillhet.
La meg minne deg om at jeg også skrev det Eksperter har oppdaget en ukjent skadelig programvare som stjal 1.2 TB med konfidensielle data.
