A furcsa kártékony programok blokkolják az áldozatokat a kalózszoftver-webhelyek elérésében

A Sophos-szal foglalkozó biztonsági kutatók a közelmúltban nagyon hosszú idő alatt nyomon követték és dokumentálták az egyik legszokatlanabb rosszindulatú programot. Ez a furcsa új rosszindulatú program nem próbálja meg lekaparni az összes bejelentkezési adatot a böngészőből, és nem is megpróbálja összekeverni a fájljait és bitcoin váltságdíjat kérni. Az új kártevő csak annyit tesz, hogy blokkolja az áldozat rendszerének hozzáférését a szoftverkalózkodási webhelyekhez.

Körülbelül egy évtizeddel ezelőtt a Sophos ismét olyan kártevőbe ütközött, amelynek funkcionalitása "majdnem azonos". Az új rosszindulatú program meglehetősen szerény saját képességeiben, ugyanakkor egyszerűségében is hatékony.

Annak ellenére, hogy nincsenek perzisztencia mechanizmusai, a rosszindulatú program módosítja a Windows HOSTS fájlt, amely egy helyi rendszertérképet tartalmaz, amely a domain neveket meghatározott IP címekre irányíthatja. A rosszindulatú programok száz és ezer domain közé teszik be a kalózkodási webhelyeket, és mindegyiküket átdolgozzák, hogy a 127.0.0.1-re - a loklahostra mutassanak. Ez hatékonyan megakadályozza, hogy a felhasználó egy böngészőből hozzáférjen ezekhez a domainekhez.

Nincs olyan további funkció, amely lehetővé tenné a rosszindulatú program számára, hogy újból felvegye ezeket a HOSTS fájlbejegyzéseket, és ha a felhasználó kitalálja, mi történik, és manuálisan szerkeszti a fájlt, a hozzáférés addig áll vissza, amíg a kártékony programot még egyszer nem futtatják.

A kutatásban felvázolt terjesztési módszerek között vannak a Discord szerverek, amelyek szoftverek és játékok állítólagos kalóz másolatait hordozzák. Ezenkívül a kalózszoftverek terjesztésére általánosan használt torrent-webhelyek ugyanazt a rosszindulatú programot is megterhelték, amelyet nagyon népszerű letöltésekről és nagyon keresett médiumokról elnevezett torrentfájlokba csomagoltak.

Miután a rosszindulatú program telepítette és módosította a HOSTS fájlt, megpróbál kimenő kapcsolatot létrehozni egy 1flchier dor com nevű tartományhoz is. Ha a kapcsolat sikeres, további hasznos terhelést kap. A hasznos terhet általában ProcessHacker.jpg-nek hívják, és valójában egy futtatható fájl, amely számos extra lépést hajt végre annak megakadályozására, hogy az áldozat rendszere futtassa és elérje a kalózszoftvereket.

A rosszindulatú programok által érintett rendszerek kézi tisztítása viszonylag egyszerű. A dolgok tisztázásához elegendő a HOSTS fájl megnyitása egyszerű szövegszerkesztőben és az összes olyan sor eltávolítása, amely a különböző tartományokat a 127.0.0.1 és a localhost webhelyekre irányítja át.

Nincs egyértelmű bizonyíték arra, hogy ez az új rosszindulatú program egy már kialakult nagyobb családhoz kapcsolódna. A Sophosnak csak annyit sikerült felderítenie, hogy a kalózkodást gátló malware-t ugyanazzal a csomagolóval hozták létre, amelyet a Qbot rosszindulatú programok családjában használtak. A kettő azonban semmilyen más értelmes kapcsolatban nincs.