Konstig skadlig kod hindrar offren från att besöka piratsidor
SophosLabs experter skriva att de har upptäckt en konstig skadlig kod som blockerar piratsidor genom att ändra HOSTS-filen på den infekterade maskinen.
Thans skadliga kampanj var aktiv från oktober 2020 till januari 2021, men som ett resultat, angriparna’ webbplatsen gick offline.”Ett av de konstigaste fallen jag har stött på nyligen: En av mina labbkollegor berättade nyligen för mig om en skadlig kampanj vars primära mål inte verkar stämma överens med alla de vanligaste malware-motiven. I stället för att försöka stjäla lösenord eller utpressa en lösen från datorns ägare, den här skadliga programvaran blockerar offrets tillgång till ett stort antal piratkopierade programvarusidor genom att ändra HOSTS-filen på det infekterade systemet”, - Andrew Brandt, SophosLabs huvudutredare sa.
Enligt Brandt, malware använde aktivt verktyg som det kämpade mot, som Discord och torrent trackers med piratkopierad programvara att sprida. On Discord, skadlig programvara distribuerades som separata körbara filer som låtsades vara piratkopierad programvara, som visas i bilden nedan.
Vid första ögonkastet, på torrentspårare som The Pirate Bay, skadlig kod distribuerades under masken för vanliga distributioner, som också hade readme, NFO-filer och genvägar som leder tillbaka till thepiratebay.org.
dock, i verkligheten, många filer i sådana torrenter gav ingen mening och lades till som en “stump” att få skadlig programvara att se ut som en typisk torrentfil med piratkopierad programvara eller en film.
”Efter att ha tittat närmare på filerna som är associerade med installationsprogrammet, det blir klart att de inte har någon praktisk användning och är avsedda att ge arkivet det vanliga utseendet, som vanligtvis har innehåll distribuerat via Bittorrent, de kan också öka hashvärdena genom att lägga till slumpmässiga data ”, - förklarar experten.
Om användaren laddade ner och körde sådan skadlig kod, det skulle ändra HOSTS-filen på offrets system, lägga till många poster för piratsidor (mest relaterad till The Pirate Bay) pekar på 127.0.0.1.
Skadlig programvara anslöt också till en fjärransluten webbplats under kontroll av hackare och vidarebefordrade namnet på den falska piraten mjuk till dess operatörer, på grund av vilken användaren smittades. Eftersom webbservrar vanligtvis registrerar IP-adresser, angripare lärde sig både den olyckliga piratens IP-adress och namnet på programvaran eller filmen som piraten försökte ladda ner.
Det är inte känt varför denna information används av angripare, men forskaren varnar för att hackare kan dela det med Internetleverantörer, upphovsrättsinnehavare, eller till och med brottsbekämpande organ. Också, malware skapare kan använda denna information i ytterligare attacker, till exempel, utpressa pengar från användare för tystnad.
Låt mig påminna dig om att jag också skrev det Experter har upptäckt en okänd skadlig kod som stal 1.2 TB av konfidentiella uppgifter.
