奇怪的惡意軟件阻止受害者訪問盜版網站

SophosLabs 專家 他們發現了一個奇怪的惡意軟件,它通過修改受感染機器上的 HOSTS 文件來阻止盜版網站.

惡意活動從 10 月開始活躍 2020 到一月 2021, 但結果, 攻擊者’ 網站下線.

“我最近遇到的最奇怪的案例之一: 我的一個實驗室同事最近告訴我一個惡意活動,其主要目標似乎與所有最常見的惡意軟件動機不一致. 而不是試圖竊取密碼或向計算機所有者勒索贖金, 該惡意軟件通過修改受感染系統上的 HOSTS 文件來阻止受害者訪問大量盜版軟件站點”, — 安德魯·布蘭特, SophosLabs 首席研究員說.

根據布蘭特, 惡意軟件積極使用它與之對抗的工具, 作為帶有盜版軟件的 Discord 和 torrent 跟踪器進行傳播. 不和諧, 惡意軟件作為單獨的可執行文件分發,偽裝成盜版軟件, 如下圖所示.

奇怪的惡意軟件盜版網站

乍一看, 在像海盜灣這樣的洪流追踪器上, 惡意軟件是在常見分發的面具下分發的, 其中也有自述文件, 返回 thepiratebay.org 的 NFO 文件和快捷方式.

然而, 事實上, 此類種子中的許多文件沒有任何意義,被添加為 “存根” 使惡意軟件看起來像帶有盜版軟件或電影的典型 torrent 文件.

“在仔細查看與安裝程序相關的文件後, 很明顯,它們沒有實際用途,旨在使檔案具有通常的外觀, 通常有通過 Bittorrent 分發的內容, 他們還可以通過添加隨機數據來增加哈希值”, — 專家解釋.

如果用戶下載並運行此類惡意軟件, 它會修改受害者係統上的 HOSTS 文件, 為盜版網站添加大量條目 (主要與海盜灣有關) 指向 127.0.0.1.

奇怪的惡意軟件盜版網站

該惡意軟件還連接到黑客控制下的遠程站點,並將假冒盜版軟件的名稱傳遞給其運營商。, 用戶因此被感染. 由於 Web 服務器通常會註冊 IP 地址, 攻擊者既知道倒霉的盜版者的 IP 地址,也知道盜版者試圖下載的軟件或電影的名稱.

不知道為什麼攻擊者會使用這些信息, 但研究人員警告說,黑客可以與 ISP 共享它, 版權持有人, 甚至執法機構. 也, 惡意軟件創建者可以在進一步的攻擊中使用這些數據, 例如, 向用戶勒索錢以保持沉默.

讓我提醒你,我也寫過 專家發現了一種未知的惡意軟件,可以竊取 1.2 TB 機密數據.

赫爾加·史密斯

我一直對計算機科學感興趣, 特別是數據安全和主題, 現在被稱為 "數據科學", 從我十幾歲起. 在加入病毒清除團隊擔任主編之前, 我曾在多家公司擔任網絡安全專家, 包括亞馬遜的一名承包商. 另一種體驗: 我在雅頓大學和雷丁大學任教.

發表評論

本網站使用的Akismet,以減少垃圾郵件. 了解您的意見如何處理數據.

返回頂部按鈕