Seltsame Malware verhindert, dass Opfer auf Websites mit Raubkopien zugreifen

Sicherheitsforscher von Sophos haben kürzlich eine der ungewöhnlichsten Malware-Kampagnen seit sehr langer Zeit verfolgt und dokumentiert. Diese seltsame neue Malware versucht nicht, alle Ihre Anmeldeinformationen aus Ihrem Browser zu kratzen, noch versucht sie, Ihre Dateien zu verschlüsseln und um Bitcoin-Lösegeld zu bitten. Die neue Malware verhindert lediglich, dass das System des Opfers auf Websites mit Softwarepiraterie zugreift.

Vor rund einem Jahrzehnt stieß Sophos erneut auf Schadsoftware, die in ihrer Funktionalität „fast identisch“ ist. Die neue Malware ist in ihren eigenen Fähigkeiten recht bescheiden, aber auch effizient in ihrer Einfachheit.

Obwohl sie keine Persistenzmechanismen hat, modifiziert die Malware die Windows HOSTS-Datei, die eine lokale Systemzuordnung enthält, die Domänennamen an bestimmte IP-Adressen weiterleiten kann. Die Malware fügt zwischen hundert und tausend Domains ein, die mit Piraterie-Websites verbunden sind, und ordnet sie alle neu zu, um auf 127.0.0.1 - den Loclahost - zu verweisen. Dies verhindert effektiv, dass der Benutzer über einen Browser auf diese Domänen zugreift.

Es gibt keine zusätzliche Funktionalität, die es der Malware ermöglicht, diese HOSTS-Dateieinträge erneut hinzuzufügen. Wenn ein Benutzer herausfindet, was vor sich geht, und die Datei manuell bearbeitet, wird der Zugriff wiederhergestellt, bis er die Malware erneut ausführt.

Die in der Untersuchung skizzierten Verbreitungsmethoden umfassen Discord-Server, die angebliche Raubkopien von Software und Spielen enthalten. Darüber hinaus hatten Torrent-Websites, die häufig zur Weitergabe von Raubkopien verwendet werden, dieselbe Malware-Nutzlast, die in Torrent-Dateien verpackt war, die nach sehr beliebten Downloads und Medien benannt waren, die sehr gefragt waren.

Sobald die Malware die HOSTS-Datei bereitgestellt und geändert hat, versucht sie auch, eine ausgehende Verbindung zu einer Domäne namens 1flchier dor com. Wenn die Verbindung erfolgreich ist, wird eine zusätzliche Nutzlast abgerufen. Die Nutzlast heißt normalerweise ProcessHacker.jpg und ist in Wirklichkeit eine ausführbare Datei, die eine Reihe zusätzlicher Schritte ausführt, um das Opfersystem daran zu hindern, Raubkopien auszuführen und darauf zuzugreifen.

Die manuelle Bereinigung von Systemen, die von der Malware betroffen sind, ist relativ einfach. Das Öffnen der HOSTS-Datei in einem Nur-Text-Editor und das Entfernen aller Zeilen, die verschiedene Domänen auf 127.0.0.1 und den localhost umleiten, reicht aus, um die Dinge aufzuklären.

Es gibt keine eindeutigen Beweise dafür, dass diese neue Malware mit einer etablierten größeren Familie verwandt ist. Sophos konnte lediglich feststellen, dass die Malware zum Blockieren von Piraterie mit demselben Packer erstellt wurde, der in der Qbot-Malware-Familie verwendet wird. Beides steht jedoch in keinem anderen sinnvollen Zusammenhang.