En stamme av skadelig programvare med merkelige intensjoner når det gjelder piratkopiering og dets moralske kompass er blitt oppdaget i naturen.
På torsdag sa Sophos-forskere at de hadde avdekket en skadelig kampanje som ikke følger typiske atferdsmønstre: infiltrere et system, stjele informasjon, utføre banksvindel og så videre – i stedet blokkerer skadelig programvare infiserte brukere fra å kunne besøk et stort antall nettsteder dedikert til piratkopiering av programvare. ”
Distribusjonsmåten varierer: noen eksempler ble begravet i arkiver forkledd som programvarepakker promotert gjennom Discord chat-tjenesten, mens andre distribueres direkte via torrent.
Skaperen har brukt navnene på mange programvaremerker, spill, produktivitetsverktøy og cybersikkerhetsløsninger for å skjule skadelig programvare, ifølge hovedforsker Andrew Brandt, og ser ut til å være rettet mot alle fra spillere til profesjonelle som kanskje ikke vil kjøpe en programvare. tillatelse.
De ondsinnede pakkene er navngitt i vanlige formater som brukes når de distribuerer piratkopiert programvare, for eksempel “Minecraft 1.5.2 Cracked [Full Installer] [Online] [Server List].” Filer er merket slik at de vises som opplastninger fra The Pirate Bay.
“Filene som ser ut til å være vert på Discords fildeling har en tendens til å være ensomme kjørbare filer,” sier Brandt. “De som distribueres gjennom Bittorrent er pakket på en måte som ligner mer på hvordan piratkopiert programvare vanligvis deles ved hjelp av denne protokollen: lagt til en komprimert fil som også inneholder en tekstfil og andre tilleggsfiler, samt en gammeldags Internett-snarvei fil.”
Hvis den eksekverbare programvaren for skadelig programvare dobbeltklikkes, vises det en melding som viser at offerets system mangler en viktig .DLL-fil. I bakgrunnen henter skadelig programvare en sekundær nyttelast, kalt ProcessHacker, fra et eksternt nettsted. Denne nyttelasten er ansvarlig for å endre HOSTS-filen på målmaskinen.
Den blokkeringsprosessen for skadelig programvare for piratkopiering er rudimentær, da den ganske enkelt legger til en liste på mellom noen få hundre og over 1000 nettdomener og peker dem til en lokal vertadresse. Merkelig, noen nettsteder som er på blokkeringslisten, har ingenting med piratkopiering å gjøre.
På moderne maskiner kan det imidlertid være nødvendig med rettigheter for å endre HOSTS-filen, og ikke alle eksemplene utløste Windows-systemer for å eskalere skadelig programvare. privilegier. Når denne opptrappingen ikke skjedde, mislyktes HOSTS-filendringen.
“Å endre HOSTS-filen er en grov, men effektiv metode for å forhindre at en datamaskin kan nå en nettadresse,” sier Sophos. “Det er grovt fordi mens skadelig programvare ikke har noen utholdenhetsmekanisme. Alle kan fjerne oppføringene etter at de er lagt til HOSTS-filen.”
I noen av skadepakkepakkene la operatøren til filer som følger med installasjonsprogrammet, og vil sannsynligvis forbedre legitimiteten som en piratprogramvarepakke. De fleste av disse filene er søppelkoder og søppelbilder, selv om en vanlig .nfo-fil inneholdt rasistiske utspott.
“På forsiden antyder motstanderens mål og verktøy at dette kan være en slags grovkompilert våpenoperasjon mot piratkopiering,” kommenterte Brandt. “Imidlertid er angriperens enorme potensielle målgruppe – fra spillere til forretningsfolk – kombinert med den nysgjerrige blandingen av daterte og nye verktøy, TTP-er og den bisarre listen over nettsteder som er blokkert av skadelig programvare, alt det ultimate formålet med denne operasjonen. litt grumsete. “
Mens skadelig programvare er grovt og ikke har stor innvirkning på brukerne – med mindre de er fans av sprukket programvare eller piratinnhold – hvis HOSTS-filen er endret, sier Sophos at den kan ryddes opp ved å kjøre Notepad som administrator , åpne c: Windows System32 Drivers etc hosts, og fjerne referanser.
Tidligere og relatert dekning
Ledere av 'beryktet' piratkopiering av Team Xecuter-spill, hjemmebrygggruppe arrestert
Philips tar på seg piratkopiering med ny omgivende lysteknologi
Disse dataene og passord stjeler skadelig programvare sprer seg på en uvanlig måte
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 