Dziwne złośliwe oprogramowanie uniemożliwia ofiarom odwiedzanie pirackich stron
Eksperci SophosLabs pisać że odkryli dziwne złośliwe oprogramowanie, które blokuje pirackie witryny, modyfikując plik HOSTS na zainfekowanej maszynie.
Tzłośliwa kampania była aktywna od października 2020 do stycznia 2021, ale w rezultacie, napastnicy’ strona przeszła w tryb offline.„Jeden z najdziwniejszych przypadków, z jakimi się ostatnio spotkałem: Jeden z moich kolegów z laboratorium powiedział mi niedawno o złośliwej kampanii, której główny cel nie wydaje się być zgodny ze wszystkimi najczęstszymi motywami złośliwego oprogramowania. Zamiast próbować ukraść hasła lub wyłudzić okup od właściciela komputera, to złośliwe oprogramowanie blokuje dostęp ofiary do dużej liczby stron z pirackim oprogramowaniem, modyfikując plik HOSTS w zainfekowanym systemie”, — Andrzej Brandt, Główny badacz SophosLabs powiedział.
Według Brandta, złośliwe oprogramowanie aktywnie wykorzystywało narzędzia, z którymi walczyło, jako trackery Discord i torrentów z pirackim oprogramowaniem do rozpowszechniania. Na niezgodzie, złośliwe oprogramowanie było dystrybuowane jako oddzielne pliki wykonywalne, które udawały pirackie oprogramowanie, jak pokazano na poniższej ilustracji.
Na pierwszy rzut oka, na trackerach torrentowych, takich jak The Pirate Bay, złośliwe oprogramowanie było rozpowszechniane pod maską powszechnych dystrybucji, który też miał readme, Pliki NFO i skróty prowadzące z powrotem do thepiratebay.org.
jednak, w rzeczywistości, wiele plików w takich torrentach nie miało sensu i zostały dodane jako “kikut” aby złośliwe oprogramowanie wyglądało jak typowy plik torrent z pirackim oprogramowaniem lub filmem.
„Po bliższym przyjrzeniu się plikom powiązanym z instalatorem, staje się jasne, że nie mają praktycznego zastosowania i mają nadać archiwum zwykły wygląd, który zwykle zawiera treści dystrybuowane za pośrednictwem Bittorrent, mogą również zwiększać wartości skrótów, dodając losowe dane”, — wyjaśnia ekspert.
Jeśli użytkownik pobrał i uruchomił takie złośliwe oprogramowanie, zmodyfikowałoby plik HOSTS w systemie ofiary, dodawanie licznych wpisów dla stron pirackich (głównie związane z The Pirate Bay) wskazując na 127.0.0.1.
Szkodnik łączył się również ze zdalną witryną pod kontrolą hakerów i przekazywał swoim operatorom nazwę fałszywego pirackiego oprogramowania, przez co użytkownik został zainfekowany. Ponieważ serwery internetowe zwykle rejestrują adresy IP, atakujący poznali zarówno adres IP pechowego pirata, jak i nazwę oprogramowania lub filmu, który pirat próbował pobrać.
Nie wiadomo, dlaczego te informacje są wykorzystywane przez atakujących, ale badacz ostrzega, że hakerzy mogą udostępniać je dostawcom usług internetowych, posiadacze praw autorskich, a nawet organy ścigania. Również, Twórcy złośliwego oprogramowania mogą wykorzystać te dane w dalszych atakach, na przykład, wyłudzanie pieniędzy od użytkowników za milczenie.
Przypomnę, że ja też tak napisałem Eksperci odkryli nieznane złośliwe oprogramowanie, które ukradło 1.2 TB poufnych danych.
