Garip kötü amaçlı yazılım, kurbanların korsan sitelerini ziyaret etmesini engelliyor
SophosLabs uzmanları yazmak virüslü makinedeki HOSTS dosyasını değiştirerek korsan siteleri engelleyen garip bir kötü amaçlı yazılım keşfettiklerini.
To kötü niyetli kampanya Ekim ayından itibaren aktifti 2020 Ocak ayına 2021, ama sonuç olarak, saldırganlar’ site çevrimdışı oldu."Son zamanlarda karşılaştığım en garip vakalardan biri: Laboratuar arkadaşlarımdan biri yakın zamanda bana, birincil hedefi en yaygın kötü amaçlı yazılım güdüleriyle uyumlu görünmeyen kötü amaçlı bir kampanyadan bahsetti.. Bilgisayarın sahibinden şifreleri çalmaya veya fidye almaya çalışmak yerine, bu kötü amaçlı yazılım, virüslü sistemdeki HOSTS dosyasını değiştirerek kurbanın çok sayıda korsan yazılım sitesine erişimini engeller.”, — Andrew Brandt, SophosLabs Baş Araştırmacısı şunları söyledi:.
Brandt'e göre, kötü amaçlı yazılım, savaştığı araçları aktif olarak kullandı, Korsan yazılımlara sahip Discord ve torrent izleyicileri olarak yayılmak. Discord'da, kötü amaçlı yazılım, korsan yazılım gibi görünen ayrı yürütülebilir dosyalar olarak dağıtıldı, aşağıdaki resimde gösterildiği gibi.
İlk bakışta, The Pirate Bay gibi torrent izleyicilerde, kötü amaçlı yazılım, yaygın dağıtım maskesi altında dağıtıldı, beni oku da vardı, thepiratebay.org'a giden NFO dosyaları ve kısayollar.
ancak, gerçekte, bu tür torrentlerdeki birçok dosya bir anlam ifade etmedi ve “Taslak” kötü amaçlı yazılımın korsan yazılım veya film içeren tipik bir torrent dosyası gibi görünmesini sağlamak için.
“Yükleyiciyle ilişkili dosyalara daha yakından baktıktan sonra, pratik bir kullanımları olmadığı ve arşive olağan bir görünüm kazandırmayı amaçladıkları açıkça ortaya çıkıyor., genellikle Bittorrent aracılığıyla dağıtılan içeriğe sahip olan, rastgele veriler ekleyerek hash değerlerini de artırabilirler”, - uzmanı açıklar.
Kullanıcı bu tür kötü amaçlı yazılımları indirip çalıştırdıysa, kurbanın sistemindeki HOSTS dosyasını değiştirirdi, korsan siteleri için çok sayıda giriş ekleme (çoğunlukla The Pirate Bay ile ilgili) işaret etmek 127.0.0.1.
Kötü amaçlı yazılım ayrıca bilgisayar korsanlarının kontrolündeki uzak bir siteye bağlandı ve operatörlerine sahte korsan yazılım adını verdi., kullanıcının enfekte olması nedeniyle. Web sunucuları genellikle IP adreslerini kaydettiğinden, saldırganlar hem şanssız korsanın IP adresini hem de korsanın indirmeye çalıştığı yazılımın veya filmin adını öğrendi..
Bu bilgilerin neden saldırganlar tarafından kullanıldığı bilinmiyor, ancak araştırmacı, bilgisayar korsanlarının bunu ISS'lerle paylaşabileceği konusunda uyarıyor, telif hakkı sahipleri, hatta kolluk kuvvetleri. Ayrıca, kötü amaçlı yazılım yaratıcıları bu verileri başka saldırılarda kullanabilir, Örneğin, sessizlik için kullanıcılardan zorla para almak.
şunu da yazdığımı hatırlatayım Uzmanlar, çalınan bilinmeyen bir kötü amaçlı yazılım keşfetti 1.2 TB gizli veri.