En stam av skadlig kod med udda avsikter när det gäller piratkopiering och dess moraliska kompass har upptäckts i naturen.
På torsdag sa Sophos-forskare att de hade upptäckt en skadlig kampanj som inte följer typiska beteendemönster: infiltrera ett system, stjäla information, bedriva bankbedrägeri och så vidare – istället blockerar skadlig programvara infekterade användare från att kunna besöka ett stort antal webbplatser som är dedikerade till piratkopiering av programvara. ”
Distributionsmedlen varierar: vissa prover begravdes i arkiv förklädda som mjukvarupaket som marknadsfördes genom Discord-chattjänsten, medan andra distribueras direkt via torrent.
Skaparen har använt namnen på många programvarumärken, spel, produktivitetsverktyg och cybersäkerhetslösningar för att dölja skadlig programvara, enligt huvudforskaren Andrew Brandt, och verkar därför vara inriktad på alla från spelare till proffs som kanske inte vill köpa en programvara. licens.
De skadliga paketen namnges i vanliga format som används vid distribution av piratkopierad programvara, till exempel “Minecraft 1.5.2 Cracked [Fullinstallatör] [Online] [Serverlista].” Filer är taggade för att visas som uppladdningar från The Pirate Bay.
“De filer som verkar vara värd för Discords fildelning tenderar att vara ensamma körbara filer”, säger Brandt. “De som distribueras via Bittorrent har förpackats på ett sätt som mer liknar hur piratkopierad programvara vanligtvis delas med det protokollet: läggs till i en komprimerad fil som också innehåller en textfil och andra tillhörande filer, samt en gammaldags Internetgenväg fil.”
Om skadlig kod exekveras dubbelklickas visas ett popup-meddelande som hävdar att offrets system saknar en avgörande .DLL-fil. I bakgrunden hämtar skadlig programvara en sekundär nyttolast, kallad ProcessHacker, från en extern webbplats. Denna nyttolast är ansvarig för att modifiera HOSTS-filen på målmaskinen.
Skadlig programvara för blockering av piratkopieringswebbplatser är grundläggande, eftersom den helt enkelt lägger till en lista med mellan några hundra och över 1000 webbdomäner och pekar dem till en lokal värdadress. Konstigt nog har vissa webbplatser som finns på blocklistan inget att göra med piratkopiering.
På moderna maskiner kan det dock krävas behörighet att modifiera HOSTS-filen och inte varje prov utlöste Windows-system för att eskalera skadlig kod. privilegier. När denna eskalering inte inträffade misslyckades HOSTS-filändringen.
“Att modifiera HOSTS-filen är en grov men effektiv metod för att förhindra att en dator kan nå en webbadress”, säger Sophos. “Det är grovt för att skadlig programvara inte har någon uthållighetsmekanism medan den fungerar. Vem som helst kan ta bort posterna efter att de har lagts till i HOSTS-filen.”
I vissa av skadepaketet lade operatören till filer som medföljer installationsprogrammet, vilket sannolikt kommer att förbättra legitimiteten som ett piratprogramvarupaket. De flesta av dessa filer är skräpkoder och skräpbilder, även om en vanlig .nfo-fil innehöll rasistiska slurrar.
”På det hela taget antyder motståndarens mål och verktyg att detta kan vara någon slags grovt sammanställt vaktoperation mot piratkopiering,” kommenterade Brandt. “Angriparens enorma potentiella målgrupp – från spelare till affärspersoner – i kombination med den nyfikna blandningen av daterade och nya verktyg, TTP och den bisarra listan över webbplatser som blockeras av skadlig programvara, gör alla det yttersta syftet med denna operation. lite grumligt. “
Medan skadlig programvara är rå och inte har någon större inverkan på användarna – såvida de inte är fans av krackad programvara eller piratinnehåll – om HOSTS-filen har modifierats, säger Sophos att den kan rensas genom att köra Notepad som administratör , öppna c: Windows System32 Drivers etc hosts och ta bort referenser.
Tidigare och relaterad täckning
Ledare för “ökänt” Team Xecuter-piratkopiering, hembryggerigrupp arresterad
Philips tar på sig piratkopiering med ny omgivande ljusteknik
Denna information och stjäl lösenord skadlig kod sprider sig på ett ovanligt sätt
Har du ett tips? Kontakta säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV-datahantering CXO-datacenter 