Eine Malware mit seltsamen Absichten in Bezug auf Piraterie und den moralischen Kompass ihrer Opfer wurde in freier Wildbahn entdeckt.
Am Donnerstag sagten Sophos-Forscher, sie hätten eine Malware-Kampagne entdeckt, die nicht den typischen Verhaltensmustern folgt: ein System infiltrieren, Informationen stehlen, Bankbetrug durchführen usw besuchen Sie eine große Anzahl von Websites, die sich der Softwarepiraterie widmen.”
Die Verbreitungswege variieren: Einige Beispiele wurden in Archiven vergraben, die als Softwarepakete getarnt waren, die über den Discord-Chat-Dienst beworben wurden, während andere direkt über Torrent verteilt werden.
Der Entwickler hat laut dem leitenden Forscher Andrew Brandt die Namen zahlreicher Softwaremarken, Spiele, Produktivitätstools und Cybersicherheitslösungen verwendet, um die Malware zu verbergen, und scheint daher auf jeden abzuzielen, von Spielern bis hin zu Profis, die möglicherweise keine Software kaufen möchten Lizenz.
Die bösartigen Pakete werden in gängigen Formaten benannt, die bei der Verbreitung von Raubkopien verwendet werden, wie z. Dateien werden so markiert, dass sie als Uploads von The Pirate Bay angezeigt werden.
“Die Dateien, die anscheinend auf der Dateifreigabe von Discord gehostet werden, sind in der Regel einzelne ausführbare Dateien”, sagt Brandt. “Die über Bittorrent vertriebenen wurden auf eine Weise verpackt, die eher der typischen Weitergabe von Raubkopien unter Verwendung dieses Protokolls ähnelt: einer komprimierten Datei hinzugefügt, die auch eine Textdatei und andere Hilfsdateien enthält, sowie eine altmodische Internetverknüpfung Datei.”
Wenn auf die ausführbare Datei der Malware doppelgeklickt wird, erscheint ein Meldungs-Popup, das behauptet, dass dem System des Opfers eine wichtige .DLL-Datei fehlt. Im Hintergrund holt die Malware eine sekundäre Nutzlast namens ProcessHacker von einer externen Website. Diese Nutzlast ist für das Ändern der HOSTS-Datei auf dem Zielcomputer verantwortlich.
Der Blockierungsprozess von Piraterie-Websites durch die Malware ist rudimentär, da sie einfach eine Liste von einigen hundert bis über 1.000 Webdomänen hinzufügt und sie auf eine localhost-Adresse verweist. Seltsamerweise haben einige Websites, die auf der Sperrliste stehen, nichts mit Piraterie zu tun.
Auf modernen Computern sind jedoch möglicherweise Berechtigungen erforderlich, um die HOSTS-Datei zu ändern, und nicht jedes Beispiel hat Windows-Systeme dazu veranlasst, die Malware zu eskalieren Privilegien. Wenn diese Eskalation nicht stattfand, schlug die Änderung der HOSTS-Datei fehl.
“Das Ändern der HOSTS-Datei ist eine grobe, aber effektive Methode, um zu verhindern, dass ein Computer eine Webadresse erreichen kann”, sagt Sophos. “Es ist grob, weil die Malware zwar funktioniert, aber keinen Persistenzmechanismus hat. Jeder kann die Einträge entfernen, nachdem sie der HOSTS-Datei hinzugefügt wurden.”
In einigen der Malware-Pakete fügte der Betreiber Dateien hinzu, die mit dem Installationsprogramm gebündelt waren, um die Legitimität als Piraten-Softwarepaket wahrscheinlich zu verbessern. Die meisten dieser Dateien sind Junk-Code und Müllbilder, obwohl eine gängige .nfo-Datei rassistische Beleidigungen enthielt.
“Auf den ersten Blick deuten die Ziele und Werkzeuge des Gegners darauf hin, dass es sich um eine Art grob zusammengestellte Anti-Piraterie-Selbstjustiz-Operation handeln könnte”, kommentierte Brandt. „Allerdings machen die große potenzielle Zielgruppe des Angreifers – von Spielern bis hin zu Geschäftsleuten – in Kombination mit der seltsamen Mischung aus veralteten und neuen Tools, TTPs und der bizarren Liste von Websites, die von der Malware blockiert werden, den ultimativen Zweck dieser Operation aus etwas trüb.”
Während die Malware grob ist und keine großen Auswirkungen auf Benutzer hat – es sei denn, sie sind Fans von gecrackter Software oder Raubkopien –, wenn die HOSTS-Datei geändert wurde, kann sie laut Sophos bereinigt werden, indem Notepad als Administrator ausgeführt wird , c:WindowsSystem32Driversetchosts öffnen und Verweise entfernen.
Frühere und verwandte Berichterstattung
Führer der “berüchtigten” Spielepiraterie von Team Xecuter, Homebrew-Gruppe verhaftet
Philips nimmt Kinopiraterie mit neuer Umgebungslichttechnologie an
Dieser Daten- und Passwortdiebstahl Malware verbreitet sich auf ungewöhnliche Weise
Hast du einen Tipp? Sichere Kontaktaufnahme über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 