Weird Malware blokerer ofre for at få adgang til piratkopierede softwaresider

Sikkerhedsforskere med Sophos har for nylig sporet og dokumenteret en af de mest usædvanlige malware-kampagner i meget lang tid. Denne underlige nye malware forsøger ikke at skrabe alle dine loginoplysninger fra din browser, og den prøver heller ikke at kryptere dine filer og bede om bitcoin-løsepenge. Alt, hvad den nye malware gør, er at blokere ofrets system fra at få adgang til piratwebsites til software.

For omkring et årti siden løb Sophos endnu en gang ind i malware, der har "næsten identisk" med hensyn til funktionalitet. Den nye malware er ret ydmyg i sine egne evner, men også effektiv i sin enkelhed.

Selvom den ikke har nogen persistensmekanismer, ændrer malware Windows HOSTS-filen, som indeholder et lokalt systemkort, der kan dirigere domænenavne til specifikke IP-adresser. Malwaren indsætter alt fra hundrede til tusind domæner tilknyttet piratkopieringswebsteder og omskifter dem alle for at pege på 127.0.0.1 - loclahost. Dette forhindrer effektivt brugeren i at få adgang til disse domæner fra en browser.

Der er ingen yderligere funktionalitet, der gør det muligt for malware at tilføje disse HOSTS-filindgange igen, og hvis en bruger finder ud af, hvad der foregår og redigerer filen manuelt, gendannes adgangen, indtil de kører malware en gang til.

Distributionsmetoderne skitseret i forskningen inkluderer Discord-servere, der bærer påståede piratkopier af software og spil. Derudover havde torrentwebsteder, der ofte bruges til at omfordele piratkopieret software, den samme malware-nyttelast, pakket i torrentfiler opkaldt efter meget populære downloads og medier, der var meget efterspurgt.

Når malware implementerer og ændrer HOSTS-filen, forsøger den også en udgående forbindelse til et domæne ved navn 1flchier dor com. Hvis forbindelsen lykkes, opnås en ekstra nyttelast. Nyttelasten kaldes normalt ProcessHacker.jpg og er virkelig en eksekverbar fil, der udfører en række ekstra trin for at stoppe offerets system fra at udføre og få adgang til piratkopieret software.

Manuel oprydning af systemer, der er blevet påvirket af malware, er relativt let. Åbning af HOSTS-filen i en almindelig teksteditor og fjernelse af alle de linjer, der omdirigerer forskellige domæner til 127.0.0.1 og localhost, er nok til at rydde op.

Der er ingen klare beviser for, at denne nye malware er relateret til en etableret større familie. Alt, hvad Sophos formåede at opdage, var at den piratkopieringsblokerende malware blev oprettet ved hjælp af den samme pakker, der blev brugt i Qbot-familien af malware. De to er dog ikke beslægtet på nogen anden meningsfuld måde.