Strano malware impedisce alle vittime di accedere a siti di software pirata
I ricercatori della sicurezza di Sophos hanno recentemente tracciato e documentato una delle campagne di malware più insolite da molto tempo. Questo strano nuovo malware non sta cercando di raschiare tutte le tue informazioni di accesso dal tuo browser, né sta cercando di criptare i tuoi file e chiedere un riscatto di bitcoin. Tutto ciò che fa il nuovo malware è impedire al sistema della vittima di accedere ai siti Web di pirateria del software.
Circa un decennio fa, Sophos si è imbattuta ancora una volta in un malware "quasi identico" in termini di funzionalità. Il nuovo malware è abbastanza umile nelle sue capacità, ma anche efficiente nella sua semplicità.
Anche se non ha meccanismi di persistenza, il malware modifica il file HOSTS di Windows che contiene una mappa del sistema locale che può indirizzare i nomi di dominio a indirizzi IP specifici. Il malware inserisce da un centinaio a un migliaio di domini associati a siti Web di pirateria e li rimappa tutti per puntare a 127.0.0.1, il loclahost. Ciò impedisce efficacemente all'utente di accedere a tali domini da un browser.
Non esiste alcuna funzionalità aggiuntiva che consenta al malware di aggiungere nuovamente quelle voci del file HOSTS e se un utente capisce cosa sta succedendo e modifica il file manualmente, l'accesso verrà ripristinato fino a quando non eseguirà il malware ancora una volta.
I metodi di distribuzione delineati nella ricerca includono server Discord che trasportano presunte copie piratate di software e giochi. Inoltre, i siti Web torrent che sono comunemente utilizzati per ridistribuire software piratato avevano anche lo stesso payload di malware, impacchettato in file torrent che prendono il nome da download e media molto popolari che erano molto ricercati.
Una volta che il malware distribuisce e modifica il file HOSTS, tenta anche una connessione in uscita a un dominio denominato 1flchier dor com. Se la connessione riesce, viene ottenuto un payload aggiuntivo. Il payload è solitamente chiamato ProcessHacker.jpg ed è in realtà un file eseguibile che esegue una serie di passaggi aggiuntivi per impedire al sistema vittima di eseguire e accedere a software piratato.
La pulizia manuale dei sistemi che sono stati colpiti dal malware è relativamente semplice. L'apertura del file HOSTS in un editor di testo normale e la rimozione di tutte le righe che reindirizzano i vari domini a 127.0.0.1 e localhost è sufficiente per chiarire le cose.
Non ci sono prove chiare che questo nuovo malware sia correlato a una famiglia più ampia consolidata. Tutto ciò che Sophos è riuscita a rilevare è che il malware per il blocco della pirateria è stato creato utilizzando lo stesso packer utilizzato nella famiglia di malware Qbot. I due, tuttavia, non sono collegati in nessun altro modo significativo.
