Un ceppo di malware con strane intenzioni quando si tratta di pirateria e la bussola morale delle sue vittime è stato rilevato in natura.
Giovedì, i ricercatori di Sophos hanno dichiarato di aver scoperto una campagna di malware che non segue i tipici schemi comportamentali: infiltrarsi in un sistema, rubare informazioni, condurre frodi bancarie e così via – invece, il malware “impedisce agli utenti infetti di essere in grado di visitare un gran numero di siti web dedicati alla pirateria informatica.”
Le modalità di distribuzione variano: alcuni campioni sono stati sepolti in archivi camuffati da pacchetti software promossi tramite il servizio chat di Discord, mentre altri sono distribuiti direttamente tramite torrent.
Il creatore ha utilizzato i nomi di numerosi marchi di software, giochi, strumenti di produttività e soluzioni di sicurezza informatica per nascondere il malware, secondo il ricercatore principale Andrew Brandt, e quindi sembra che si rivolga a tutti, dai giocatori ai professionisti che potrebbero non voler acquistare un software licenza.
I pacchetti dannosi sono denominati nei formati comuni utilizzati durante la distribuzione di software piratato, come “Minecraft 1.5.2 Cracked [Programma di installazione completo][Online][Elenco server]”. I file sono contrassegnati per apparire come caricamenti da The Pirate Bay.
“I file che sembrano essere ospitati sulla condivisione di file di Discord tendono ad essere file eseguibili solitari”, afferma Brandt. “Quelli distribuiti tramite Bittorrent sono stati confezionati in un modo che ricorda più da vicino il modo in cui il software piratato viene generalmente condiviso utilizzando quel protocollo: aggiunti a un file compresso che contiene anche un file di testo e altri file ausiliari, oltre a un collegamento Internet vecchio stile file.”
Se si fa doppio clic sull'eseguibile del malware, viene visualizzato un messaggio pop-up che afferma che nel sistema della vittima manca un file .DLL cruciale. In background, il malware sta recuperando un payload secondario, soprannominato ProcessHacker, da un sito Web esterno. Questo payload è responsabile della modifica del file HOSTS sulla macchina di destinazione.
Il processo di blocco dei siti Web di pirateria del malware è rudimentale, poiché aggiunge semplicemente un elenco compreso tra poche centinaia e oltre 1.000 domini Web e li indirizza a un indirizzo host locale. Stranamente, alcuni siti Web che si trovano nell'elenco dei blocchi non hanno nulla a che fare con la pirateria.
Tuttavia, sui computer moderni, potrebbero essere necessari privilegi per modificare il file HOSTS e non tutti i sistemi Windows attivati dai campioni per aumentare il malware privilegi. Quando questa escalation non si è verificata, la modifica del file HOSTS non è riuscita.
“La modifica del file HOSTS è un metodo rozzo ma efficace per impedire a un computer di raggiungere un indirizzo Web”, afferma Sophos. “È rozzo perché, mentre funziona, il malware non ha un meccanismo di persistenza. Chiunque può rimuovere le voci dopo che sono state aggiunte al file HOSTS.”
In alcuni dei pacchetti malware, l'operatore ha aggiunto file in bundle con il programma di installazione, probabilmente per migliorare il suo aspetto di legittimità come pacchetto software pirata. La maggior parte di questi file sono codice spazzatura e immagini spazzatura, sebbene un comune file .nfo contenesse insulti razzisti.
“A prima vista, gli obiettivi e gli strumenti dell'avversario suggeriscono che questa potrebbe essere una sorta di operazione di vigilanza antipirateria rozzamente compilata”, ha commentato Brandt. “Tuttavia, il vasto pubblico potenziale di destinazione dell'attaccante – dai giocatori ai professionisti aziendali – combinato con il curioso mix di strumenti datati e nuovi, TTP e il bizzarro elenco di siti Web bloccati dal malware, fanno tutti lo scopo finale di questa operazione un po' torbido.”
Sebbene il malware sia grezzo e non abbia un impatto importante sugli utenti, a meno che non siano fan di software craccato o contenuti piratati, se il file HOSTS è stato modificato, Sophos afferma che può essere ripulito eseguendo Blocco note come amministratore , aprendo c:WindowsSystem32Drivers etchosts e rimuovendo i riferimenti.
Copertura precedente e correlata
Leader della “famigerata” pirateria di giochi del Team Xecuter, arrestato un gruppo homebrew
Philips affronta la pirateria cinematografica con una nuova tecnologia di illuminazione ambientale
Questi dati e il furto di password il malware si sta diffondendo in modo insolito
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Gestione dei dati della TV di sicurezza Centri dati CXO 