En stamme af malware med ulige intentioner, når det kommer til piratkopiering og dets moralske kompas, er blevet opdaget i naturen.
På torsdag sagde Sophos-forskere, at de havde afdækket en malware-kampagne, der ikke følger typiske adfærdsmønstre: infiltrere et system, stjæle information, foretage banksvindel og så videre – i stedet blokerer malware malwareinficerede brugere fra at kunne besøg et stort antal websteder, der er dedikeret til piratkopiering af software. ”
Distributionsmidlerne varierer: nogle prøver blev begravet i arkiver forklædte som softwarepakker, der blev promoveret gennem Discord-chattjenesten, mens andre distribueres direkte via torrent.
Skaberen har brugt navnene på adskillige softwaremærker, spil, produktivitetsværktøjer og cybersikkerhedsløsninger til at skjule malware, ifølge hovedforsker Andrew Brandt, og ser ud til at være målrettet mod alle fra spillere til professionelle, der måske ikke ønsker at købe en software licens.
De ondsindede pakker er navngivet i almindelige formater, der bruges ved distribution af piratkopieret software, såsom “Minecraft 1.5.2 Cracked [Full Installer] [Online] [Server List].” Filer er tagget for at blive vist som uploads fra The Pirate Bay.
“De filer, der ser ud til at være hostet på Discords fildeling, er ofte ensomme eksekverbare filer,” siger Brandt. “Dem, der distribueres gennem Bittorrent, er pakket på en måde, der ligner mere, hvordan piratkopieret software typisk deles ved hjælp af denne protokol: tilføjet til en komprimeret fil, der også indeholder en tekstfil og andre supplerende filer samt en gammeldags internetgenvej fil.”
Hvis malwareens eksekverbare dobbeltklikkes, vises der en pop op-meddelelse, der påstår, at offerets system mangler en vigtig .DLL-fil. I baggrunden henter malware en sekundær nyttelast, kaldet ProcessHacker, fra et eksternt websted. Denne nyttelast er ansvarlig for at ændre HOSTS-filen på målmaskinen.
Processen til blokering af malware til piratkopiering af websteder er rudimentær, da den simpelthen tilføjer en liste på mellem et par hundrede til over 1.000 webdomæner og peger dem på en lokalhostadresse. Mærkeligt nok har nogle websteder, der er på blokeringslisten, intet at gøre med piratkopiering.
På moderne maskiner kan det dog være nødvendigt med rettigheder til at ændre HOSTS-filen, og ikke hver prøve udløste Windows-systemer for at eskalere malwareens privilegier. Da denne optrapning ikke fandt sted, mislykkedes HOSTS-filændringen.
“Ændring af HOSTS-filen er en rå, men effektiv metode til at forhindre, at en computer kan nå en webadresse,” siger Sophos. “Det er rå, fordi mens det virker, har malware ingen persistensmekanisme. Enhver kan fjerne poster, når de er blevet føjet til HOSTS-filen.”
I nogle af malware-pakkerne tilføjede operatøren filer bundtet med installationsprogrammet, hvilket sandsynligvis vil forbedre sit legitimitetsudseende som en piratsoftwarepakke. De fleste af disse filer er uønsket kode og skraldebilleder, selvom en almindelig .nfo-fil indeholdt racistiske sludder.
”På forsiden antyder modstanderens mål og redskaber, at dette kan være en slags groft sammensat anti-piratkopieringsoperation,” kommenterede Brandt. “Imidlertid er angriberen enorme potentielle målgruppe – fra spillere til forretningsfolk – kombineret med den nysgerrige blanding af daterede og nye værktøjer, TTP'er og den bizarre liste over websteder, der er blokeret af malware, alt sammen det ultimative formål med denne operation. lidt skummelt. “
Mens malware er rå og ikke har stor indflydelse på brugerne – medmindre de er fans af krakket software eller piratindhold – hvis HOSTS-filen er blevet ændret, siger Sophos, at den kan renses ved at køre Notepad som administrator , åbner c: Windows System32 Drivers etc hosts og fjerner referencer.
Tidligere og beslægtet dækning
Ledere af 'berygtet' Team Xecuter-spilpirateri, hjemmebryggruppe arresteret
Philips påtager sig piratkopiering med biograf med ny omgivende lysteknologi
Disse data og adgangskoder stjæler malware spreder sig på en usædvanlig måde
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV Data Management CXO Data Centers 