奇妙なマルウェアは、被害者が海賊版ソフトウェアサイトにアクセスするのを阻止します
ソフォスのセキュリティ研究者は最近、非常に長い間、最も珍しいマルウェアキャンペーンの1つを追跡して文書化しました。この奇妙な新しいマルウェアは、ブラウザからすべてのログイン情報を取得しようとしているわけでも、ファイルをスクランブルしてビットコインの身代金を要求しようとしているわけでもありません。新しいマルウェアが行うことは、被害者のシステムがソフトウェアの著作権侵害Webサイトにアクセスするのをブロックすることだけです。
約10年前、ソフォスは機能面で「ほぼ同一」のマルウェアに再び遭遇しました。新しいマルウェアは、それ自体の能力が非常に謙虚ですが、その単純さも効率的です。
永続化メカニズムはありませんが、マルウェアは、ドメイン名を特定のIPアドレスに転送できるローカルシステムマップを含むWindowsHOSTSファイルを変更します。このマルウェアは、著作権侵害のWebサイトに関連付けられた100から1000のドメインを挿入し、それらすべてを127.0.0.1(ローカルホスト)を指すように再マップします。これにより、ユーザーがブラウザからこれらのドメインにアクセスするのを効果的に防ぐことができます。
マルウェアがこれらのHOSTSファイルエントリを再度追加できるようにする追加機能はありません。ユーザーが何が起こっているのかを把握してファイルを手動で編集すると、マルウェアをもう一度実行するまでアクセスが復元されます。
調査で概説された配布方法には、ソフトウェアやゲームの海賊版のコピーを運ぶDiscordサーバーが含まれます。さらに、海賊版ソフトウェアの再配布に一般的に使用されるトレントWebサイトにも同じマルウェアペイロードがあり、非常に人気のあるダウンロードと非常に人気のあるメディアにちなんで名付けられたトレントファイルにパッケージ化されていました。
マルウェアがHOSTSファイルを展開して変更すると、1flchier dorcomという名前のドメインへのアウトバウンド接続も試行されます。接続が成功すると、追加のペイロードが取得されます。ペイロードは通常ProcessHacker.jpgと呼ばれ、実際には、被害者のシステムが海賊版ソフトウェアを実行してアクセスするのを防ぐために、いくつかの追加手順を実行する実行可能ファイルです。
マルウェアの影響を受けたシステムの手動クリーンアップは比較的簡単です。プレーンテキストエディタでHOSTSファイルを開き、さまざまなドメインを127.0.0.1にリダイレクトするすべての行を削除すると、ローカルホストで問題を解決できます。
この新しいマルウェアが確立されたより大きな家族に関連しているという明確な証拠はありません。ソフォスが検出したのは、Qbotファミリーのマルウェアで使用されているのと同じパッカーを使用して著作権侵害をブロックするマルウェアが作成されたということだけでした。ただし、この2つは、他の意味のある方法では関連していません。