奇怪的恶意软件阻止受害者访问盗版网站
SophosLabs 专家 写 他们发现了一个奇怪的恶意软件,它通过修改受感染机器上的 HOSTS 文件来阻止盗版网站.
Ť他的恶意活动从 10 月开始活跃 2020 到一月 2021, 但结果, 攻击者’ 网站下线.“我最近遇到的最奇怪的案例之一: 我的一个实验室同事最近告诉我一个恶意活动,其主要目标似乎与所有最常见的恶意软件动机不一致. 而不是试图窃取密码或向计算机所有者勒索赎金, 该恶意软件通过修改受感染系统上的 HOSTS 文件来阻止受害者访问大量盗版软件站点”, — 安德鲁·布兰特, SophosLabs 首席研究员说.
根据布兰特, 恶意软件积极使用它与之对抗的工具, 作为带有盗版软件的 Discord 和 torrent 跟踪器进行传播. 不和谐, 恶意软件作为单独的可执行文件分发,伪装成盗版软件, 如下图所示.
乍一看, 在像海盗湾这样的洪流追踪器上, 恶意软件是在常见分发的面具下分发的, 其中也有自述文件, 返回 thepiratebay.org 的 NFO 文件和快捷方式.
然而, 事实上, 此类种子中的许多文件没有任何意义,被添加为 “存根” 使恶意软件看起来像带有盗版软件或电影的典型 torrent 文件.
“在仔细查看与安装程序相关的文件后, 很明显,它们没有实际用途,旨在使档案具有通常的外观, 通常有通过 Bittorrent 分发的内容, 他们还可以通过添加随机数据来增加哈希值”, — 专家解释.
如果用户下载并运行此类恶意软件, 它会修改受害者系统上的 HOSTS 文件, 为盗版网站添加大量条目 (主要与海盗湾有关) 指向 127.0.0.1.
该恶意软件还连接到黑客控制下的远程站点,并将假冒盗版软件的名称传递给其运营商。, 用户因此被感染. 由于 Web 服务器通常会注册 IP 地址, 攻击者既知道倒霉的盗版者的 IP 地址,也知道盗版者试图下载的软件或电影的名称.
不知道为什么这些信息会被攻击者使用, 但研究人员警告说,黑客可以与 ISP 共享它, 版权持有人, 甚至执法机构. 也, 恶意软件创建者可以在进一步的攻击中使用这些数据, 例如, 向用户勒索钱以保持沉默.
让我提醒你,我也写过 专家发现了一种未知的恶意软件,可以窃取 1.2 TB 机密数据.
