Το παράξενο κακόβουλο λογισμικό αποκλείει την πρόσβαση των θυμάτων σε πειρατικές τοποθεσίες λογισμικού

Οι ερευνητές ασφαλείας με τη Sophos παρακολούθησαν πρόσφατα και τεκμηρίωσαν μια από τις πιο ασυνήθιστες καμπάνιες κακόβουλου λογισμικού σε πολύ μεγάλο χρονικό διάστημα. Αυτό το παράξενο νέο κακόβουλο λογισμικό δεν προσπαθεί να διαγράψει όλα τα στοιχεία σύνδεσής σας από το πρόγραμμα περιήγησής σας, ούτε προσπαθεί να ανακαλύψει τα αρχεία σας και να ζητήσει λύτρα bitcoin. Το μόνο που κάνει το νέο κακόβουλο λογισμικό είναι να εμποδίσει την πρόσβαση του συστήματος του θύματος σε ιστότοπους πειρατείας λογισμικού.

Πριν από περίπου μια δεκαετία, η Sophos αντιμετώπισε για άλλη μια φορά κακόβουλο λογισμικό που έχει "σχεδόν πανομοιότυπο" όσον αφορά τη λειτουργικότητα. Το νέο κακόβουλο λογισμικό είναι αρκετά ταπεινό στις δικές του δυνατότητες, αλλά και αποτελεσματικό στην απλότητά του.

Παρόλο που δεν διαθέτει μηχανισμούς επιμονής, το κακόβουλο λογισμικό τροποποιεί το αρχείο Windows HOSTS που περιέχει έναν τοπικό χάρτη συστήματος που μπορεί να κατευθύνει ονόματα τομέα σε συγκεκριμένες διευθύνσεις IP. Το κακόβουλο λογισμικό εισάγει οπουδήποτε από εκατό έως χίλιους τομείς που σχετίζονται με ιστότοπους πειρατείας και τους επανατοποθετεί όλους στο σημείο 127.0.0.1 - το loclahost. Αυτό αποτρέπει αποτελεσματικά τον χρήστη από την πρόσβαση σε αυτούς τους τομείς από ένα πρόγραμμα περιήγησης.

Δεν υπάρχει πρόσθετη λειτουργικότητα που επιτρέπει στο κακόβουλο λογισμικό να προσθέσει ξανά αυτές τις καταχωρίσεις αρχείων HOSTS και εάν ένας χρήστης καταλάβει τι συμβαίνει και επεξεργάζεται το αρχείο με μη αυτόματο τρόπο, η πρόσβαση θα αποκατασταθεί έως ότου εκτελέσουν το κακόβουλο λογισμικό για άλλη μια φορά.

Οι μέθοδοι διανομής που περιγράφονται στην έρευνα περιλαμβάνουν διακομιστές Discord που μεταφέρουν υποτιθέμενα πειρατικά αντίγραφα λογισμικού και παιχνιδιών. Επιπλέον, οι ιστότοποι torrent που χρησιμοποιούνται συνήθως για την αναδιανομή πειρατικών λογισμικών είχαν επίσης το ίδιο ωφέλιμο φορτίο κακόβουλου λογισμικού, συσκευασμένα σε αρχεία torrent που πήραν το όνομά τους από πολύ δημοφιλείς λήψεις και μέσα που ήταν ιδιαίτερα περιζήτητα.

Μόλις το κακόβουλο λογισμικό αναπτύξει και τροποποιήσει το αρχείο HOSTS, επιχειρεί επίσης μια εξερχόμενη σύνδεση με έναν τομέα που ονομάζεται 1flchier dor com. Εάν η σύνδεση επιτύχει, επιτυγχάνεται ένα επιπλέον ωφέλιμο φορτίο. Το ωφέλιμο φορτίο ονομάζεται ProcessHacker.jpg και είναι πραγματικά ένα εκτελέσιμο αρχείο που εκτελεί ορισμένα επιπλέον βήματα για να εμποδίσει το σύστημα του θύματος να εκτελέσει και να αποκτήσει πρόσβαση σε πειρατικό λογισμικό.

Η μη αυτόματη εκκαθάριση συστημάτων που έχουν επηρεαστεί από το κακόβουλο λογισμικό είναι σχετικά εύκολη. Ανοίγοντας το αρχείο HOSTS σε ένα πρόγραμμα επεξεργασίας απλού κειμένου και αφαιρώντας όλες τις γραμμές που ανακατευθύνουν διάφορους τομείς στο 127.0.0.1 και το localhost αρκεί για να ξεκαθαρίσουμε τα πράγματα.

Δεν υπάρχει σαφής ένδειξη ότι αυτό το νέο κακόβουλο λογισμικό σχετίζεται με μια καθιερωμένη μεγαλύτερη οικογένεια. Το μόνο που κατάφερε να εντοπίσει η Sophos ήταν ότι το κακόβουλο λογισμικό αποκλεισμού πειρατείας δημιουργήθηκε χρησιμοποιώντας το ίδιο πακέτο που χρησιμοποιήθηκε στην οικογένεια κακόβουλων προγραμμάτων Qbot. Ωστόσο, τα δύο δεν σχετίζονται με κανένα άλλο ουσιαστικό τρόπο.