Malware extraño impide que las víctimas accedan a sitios de software pirateado
Los investigadores de seguridad de Sophos rastrearon y documentaron recientemente una de las campañas de malware más inusuales en mucho tiempo. Este nuevo y extraño malware no está tratando de extraer toda su información de inicio de sesión de su navegador, ni está tratando de codificar sus archivos y solicitar un rescate de bitcoin. Todo lo que hace el nuevo malware es impedir que el sistema de la víctima acceda a sitios web de piratería de software.
Hace aproximadamente una década, Sophos se topó una vez más con malware que tiene una funcionalidad "casi idéntica". El nuevo malware es bastante modesto en sus propias capacidades, pero también eficiente en su simplicidad.
Aunque no tiene mecanismos de persistencia, el malware modifica el archivo HOSTS de Windows que contiene un mapa del sistema local que puede dirigir los nombres de dominio a direcciones IP específicas. El malware inserta entre cien y mil dominios asociados con sitios web de piratería y los reasigna a todos para que apunten a 127.0.0.1, el loclahost. Esto evita efectivamente que el usuario acceda a esos dominios desde un navegador.
No hay ninguna funcionalidad adicional que permita que el malware vuelva a agregar esas entradas de archivo HOSTS y si un usuario se da cuenta de lo que está sucediendo y edita el archivo manualmente, se restaurará el acceso hasta que ejecute el malware una vez más.
Los métodos de distribución descritos en la investigación incluyen servidores de Discord que llevan supuestas copias pirateadas de software y juegos. Además, los sitios web de torrents que se utilizan comúnmente para redistribuir software pirateado también tenían la misma carga útil de malware, empaquetada en archivos torrent con nombres de descargas y medios muy populares que eran muy buscados.
Una vez que el malware implementa y modifica el archivo HOSTS, también intenta una conexión saliente a un dominio llamado 1flchier dor com. Si la conexión tiene éxito, se obtiene una carga adicional. La carga útil generalmente se llama ProcessHacker.jpg y en realidad es un archivo ejecutable que realiza una serie de pasos adicionales para evitar que el sistema de la víctima ejecute y acceda a software pirateado.
La limpieza manual de los sistemas que se han visto afectados por el malware es relativamente fácil. Abrir el archivo HOSTS en un editor de texto sin formato y eliminar todas las líneas que redirigen varios dominios a 127.0.0.1 y localhost es suficiente para aclarar las cosas.
No hay evidencia clara de que este nuevo malware esté relacionado con una familia más grande establecida. Todo lo que Sophos logró detectar fue que el malware que bloquea la piratería se creó con el mismo empaquetador utilizado en la familia de malware Qbot. Sin embargo, los dos no están relacionados de ninguna otra manera significativa.
