Този странен зловреден софтуер ви спира да посещавате пиратски уебсайтове

В дивата природа е открит щам злонамерен софтуер със странни намерения, когато става въпрос за пиратство и морален компас на жертвите му.

В четвъртък изследователите на Софос заявиха, че са разкрили кампания за злонамерен софтуер което не следва типичните поведенчески модели: проникване в система, кражба на информация, извършване на банкови измами и т.н. – вместо това зловредният софтуер „блокира заразените потребители да могат да посещават голям брой уебсайтове, посветени на софтуерното пиратство“.

Начините за разпространение варират: някои мостри са погребани в архиви, маскирани като софтуерни пакети, рекламирани чрез услугата за чат Discord, докато други се разпространяват директно чрез торент.

Създателят е използвал имената на многобройни софтуерни марки, игри, инструменти за производителност и решения за киберсигурност, за да скрие зловредния софтуер, според главния изследовател Андрю Бранд, и изглежда изглежда насочен към всички – от геймърите до професионалистите, които може да не искат да закупят софтуер Разрешително.

Злонамерените пакети са посочени в често срещани формати, използвани при разпространение на пиратски софтуер, като „Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]Msgstr “Файловете са маркирани да се показват като качвания от The Pirate Bay.

„Файловете, които изглежда се хостват в споделянето на файлове на Discord, обикновено са самотни изпълними файлове“, казва Бранд. “Разпределените чрез Bittorrent са опаковани по начин, който по-скоро прилича на това, как обикновено се споделя пиратски софтуер, използвайки този протокол: добавя се към компресиран файл, който също съдържа текстов файл и други спомагателни файлове, както и старомоден пряк път в Интернет файл. ”

Ако на изпълнимия файл на зловредния софтуер се щракне двукратно, се появява изскачащо съобщение, което твърди, че в системата на жертвата липсва решаващ .DLL файл. Във фонов режим зловредният софтуер извлича вторичен полезен товар, наречен ProcessHacker, от външен уебсайт. Този полезен товар е отговорен за модифицирането на файла HOSTS на целевата машина.

Процесът на блокиране на пиратството на уебсайта на зловредния софтуер е елементарен, тъй като той просто добавя списък между няколко стотин до над 1000 уеб домейни и ги насочва към адрес на локален хост. Странно, но някои уебсайтове, които са в списъка с блокирани, нямат нищо общо с пиратството.

Въпреки това, на съвременните машини може да се изискват привилегии за модифициране на файла HOSTS и не всяка примерна система, задействана от Windows, за да се повишат привилегиите на зловредния софтуер. Когато тази ескалация не се случи, модификацията на файла HOSTS не успя.

„Модифицирането на файла HOSTS е груб, но ефективен метод за предотвратяване на възможност компютърът да достигне до уеб адрес“, казва Софос. “Това е грубо, защото макар че работи, зловредният софтуер няма механизъм за постоянство. Всеки може да премахне записите, след като са добавени към файла HOSTS.”

В някои от пакетите за злонамерен софтуер операторът добави файлове, свързани с инсталатора, вероятно да подобри външния си вид на легитимност като пиратски софтуерен пакет. Повечето от тези файлове са боклуци и изображения за боклук, въпреки че общ .nfo файл съдържа расистки измами.

„На пръв поглед целите и инструментите на противника предполагат, че това може да е някаква грубо съставена антипиратска бдителна операция“, коментира Бранд. „Огромната потенциална целева аудитория на нападателя – от геймъри до бизнес професионалисти – в комбинация с любопитната комбинация от датирани и нови инструменти, TTP и странния списък с уебсайтове, блокирани от зловредния софтуер, правят крайната цел на тази операция малко мътно. “

Въпреки че зловредният софтуер е суров и няма значително въздействие върху потребителите – освен ако не са фенове на напукан софтуер или пиратско съдържание – ако файлът HOSTS е модифициран, Sophos казва, че може да бъде почистен, като стартирате Notepad като администратор , отваряне на c: Windows System32 Drivers etc hosts и премахване на препратки.


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com