Een soort malware met vreemde bedoelingen als het gaat om piraterij en het morele kompas van zijn slachtoffers is in het wild ontdekt.
Donderdag zeiden Sophos-onderzoekers dat ze een malwarecampagne hadden ontdekt die geen typische gedragspatronen volgt: een systeem infiltreren, informatie stelen, bankfraude plegen, enzovoort. bezoek een groot aantal websites gewijd aan softwarepiraterij.”
De wijze van distributie varieert: sommige voorbeelden zijn begraven in archieven vermomd als softwarepakketten die worden gepromoot via de Discord-chatservice, terwijl andere rechtstreeks via torrent worden verspreid.
De maker heeft de namen van talloze softwaremerken, games, productiviteitstools en cyberbeveiligingsoplossingen gebruikt om de malware te verbergen, aldus hoofdonderzoeker Andrew Brandt, en lijkt zich dus op iedereen te richten, van gamers tot professionals die misschien geen software willen kopen. licentie.
De kwaadaardige pakketten worden genoemd in veelgebruikte formaten die worden gebruikt bij het verspreiden van illegale software, zoals “Minecraft 1.5.2 Cracked [Full Installer][Online][Server List].” Bestanden zijn getagd om te verschijnen als uploads van The Pirate Bay.
“De bestanden die op Discord's file-sharing lijken te worden gehost, zijn meestal alleenstaande uitvoerbare bestanden”, zegt Brandt. “Degenen die via Bittorrent worden gedistribueerd, zijn verpakt op een manier die meer lijkt op hoe illegale software doorgaans wordt gedeeld met behulp van dat protocol: toegevoegd aan een gecomprimeerd bestand dat ook een tekstbestand en andere hulpbestanden bevat, evenals een ouderwetse internetsnelkoppeling het dossier.”
Als op het uitvoerbare bestand van de malware wordt gedubbelklikt, verschijnt er een pop-upbericht waarin wordt beweerd dat het systeem van het slachtoffer een cruciaal .DLL-bestand mist. Op de achtergrond haalt de malware een secundaire payload op, genaamd ProcessHacker, van een externe website. Deze payload is verantwoordelijk voor het wijzigen van het HOSTS-bestand op de doelcomputer.
Het blokkeringsproces van de piraterijwebsite van de malware is rudimentair, omdat het eenvoudig een lijst van enkele honderden tot meer dan 1.000 webdomeinen toevoegt en deze naar een localhost-adres verwijst. Vreemd genoeg hebben sommige websites die op de blokkeerlijst staan niets te maken met piraterij.
Op moderne machines kunnen echter privileges vereist zijn om het HOSTS-bestand te wijzigen en niet elk voorbeeld activeerde Windows-systemen om de malware te laten escaleren voorrechten. Toen deze escalatie niet plaatsvond, is de wijziging van het HOSTS-bestand mislukt.
“Het HOSTS-bestand aanpassen is een grove maar effectieve methode om te voorkomen dat een computer een webadres kan bereiken”, zegt Sophos. “Het is grof, want hoewel het werkt, heeft de malware geen persistentiemechanisme. Iedereen kan de vermeldingen verwijderen nadat ze aan het HOSTS-bestand zijn toegevoegd.”
In sommige van de malwarepakketten heeft de operator bestanden toegevoegd die bij het installatieprogramma waren gebundeld, waardoor het er waarschijnlijk beter uitziet als een piraatsoftwarepakket. De meeste van deze bestanden zijn junkcode en rotzooiafbeeldingen, hoewel een veelvoorkomend .nfo-bestand racistische opmerkingen bevatte.
“Op het eerste gezicht suggereren de doelen en instrumenten van de tegenstander dat dit een soort grof gecompileerde burgerwachtoperatie tegen piraterij zou kunnen zijn”, merkte Brandt op. “De enorme potentiële doelgroep van de aanvaller – van gamers tot zakelijke professionals – in combinatie met de merkwaardige mix van gedateerde en nieuwe tools, TTP's en de bizarre lijst met websites die door de malware worden geblokkeerd, maken allemaal het uiteindelijke doel van deze operatie. een beetje troebel.”
Hoewel de malware grof is en geen grote impact heeft op gebruikers – tenzij ze fans zijn van gekraakte software of illegale inhoud – als het HOSTS-bestand is gewijzigd, zegt Sophos dat het kan worden opgeschoond door Kladblok als beheerder uit te voeren , open c:WindowsSystem32Drivers etchosts en verwijder verwijzingen.
Eerdere en gerelateerde berichtgeving
Leiders van 'beruchte' gamepiraterij Team Xecuter, homebrew-groep gearresteerd
Philips pakt bioscooppiraterij aan met nieuwe ambient light-technologie
Deze gegevens- en wachtwoorddiefstal malware verspreidt zich op een ongebruikelijke manier
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 