Malware estranho impede que as vítimas visitem sites piratas
Especialistas SophosLabs Escreva que eles descobriram um malware estranho que bloqueia sites piratas, modificando o arquivo HOSTS na máquina infectada.
TA campanha maliciosa estava ativa desde outubro 2020 a janeiro 2021, mas como resultado, os atacantes’ site ficou offline.“Um dos casos mais estranhos que encontrei recentemente: Um dos meus colegas de laboratório me contou recentemente sobre uma campanha maliciosa cujo objetivo principal não parece se alinhar com todos os motivos de malware mais comuns. Em vez de tentar roubar senhas ou extorquir um resgate do dono do computador, este malware bloqueia o acesso da vítima a um grande número de sites de software pirata, modificando o arquivo HOSTS no sistema infectado”, - Andrew Brandt, O principal investigador da SophosLabs disse.
De acordo com Brandt, o malware usou ativamente as ferramentas contra as quais lutou, como Discord e rastreadores de torrent com software pirata para espalhar. Em discórdia, o malware foi distribuído como executáveis separados que fingiam ser software pirateado, como mostrado na ilustração abaixo.
À primeira vista, em rastreadores de torrent como o The Pirate Bay, malware foi distribuído sob a máscara de distribuições comuns, que também tinha me lido, Arquivos NFO e atalhos que levam de volta a thepiratebay.org.
Contudo, na realidade, muitos arquivos em tais torrents não faziam nenhum sentido e foram adicionados como um “toco” para fazer o malware parecer um arquivo torrent típico com software pirata ou um filme.
“Depois de olhar mais de perto os arquivos associados ao instalador, fica claro que eles não têm uso prático e se destinam a dar ao arquivo a aparência usual, que geralmente tem conteúdo distribuído por meio do Bittorrent, eles também podem aumentar os valores de hash adicionando dados aleatórios ”, - explica o especialista.
Se o usuário baixou e executou tal malware, iria modificar o arquivo HOSTS no sistema da vítima, adicionando várias entradas para sites piratas (principalmente relacionado ao The Pirate Bay) apontando para 127.0.0.1.
O malware também se conectou a um site remoto sob o controle de hackers e passou para seus operadores o nome do falso software pirata, devido ao qual o usuário foi infectado. Como os servidores da web geralmente registram endereços IP, os atacantes descobriram o endereço IP do pirata azarado e o nome do software ou filme que o pirata estava tentando baixar.
Não se sabe por que essas informações são usadas por invasores, mas o pesquisador avisa que os hackers podem compartilhá-lo com ISPs, detentores de direitos autorais, ou mesmo agências de aplicação da lei. Além disso, os criadores de malware podem usar esses dados em outros ataques, por exemplo, extorquindo dinheiro dos usuários pelo silêncio.
Deixe-me lembrá-lo de que também escrevi que Especialistas descobriram um malware desconhecido que roubou 1.2 TB de dados confidenciais.