Weird Malware blokkerer ofre for å få tilgang til piratkopiert programvare

Sikkerhetsforskere med Sophos har nylig sporet og dokumentert en av de mest uvanlige skadelige kampanjer på veldig lang tid. Denne rare nye malware prøver ikke å skrape all påloggingsinformasjonen din fra nettleseren din, og den prøver heller ikke å kryptere filene dine og be om bitcoin-løsepenger. Alt som den nye skadelige programvaren gjør, er å blokkere offerets system fra å få tilgang til piratkopieringsnettsteder.

For omtrent et tiår siden kjørte Sophos igjen skadelig programvare som har "nesten identisk" når det gjelder funksjonalitet. Den nye skadelige programvaren er ganske ydmyk i sine egne evner, men også effektiv i sin enkelhet.

Selv om den ikke har noen utholdenhetsmekanismer, endrer skadelig programvare Windows HOSTS-filen som inneholder et lokalt systemkart som kan dirigere domenenavn til bestemte IP-adresser. Den skadelige programvaren setter inn alt fra hundre til tusen domener tilknyttet piratkopieringsnettsteder og gir dem alle om til å peke til 127.0.0.1 - loclahost. Dette forhindrer effektivt brukeren i å få tilgang til disse domenene fra en nettleser.

Det er ingen tilleggsfunksjonalitet som lar skadelig programvare legge til disse HOSTS-filoppføringene på nytt, og hvis en bruker finner ut hva som skjer og redigerer filen manuelt, blir tilgangen gjenopprettet til de kjører skadelig programvare en gang til.

Distribusjonsmetodene skissert i forskningen inkluderer Discord-servere som bærer påståtte piratkopier av programvare og spill. I tillegg hadde torrent-nettsteder som ofte brukes til å distribuere piratkopiert programvare, den samme malware-nyttelasten, pakket i torrentfiler oppkalt etter veldig populære nedlastinger og medier som var svært ettertraktet.

Når skadelig programvare distribuerer og endrer HOSTS-filen, prøver den også en utgående forbindelse til et domene som heter 1flchier dor com. Hvis forbindelsen lykkes, oppnås en ekstra nyttelast. Nyttelasten kalles vanligvis ProcessHacker.jpg og er egentlig en kjørbar fil som utfører en rekke ekstra trinn for å stoppe offerets system fra å kjøre og få tilgang til piratkopiert programvare.

Manuell opprydding av systemer som er påvirket av skadelig programvare er relativt enkelt. Å åpne HOSTS-filen i en ren tekstredigerer og fjerne alle linjene som omdirigerer forskjellige domener til 127.0.0.1 og localhost er nok til å fjerne ting.

Det er ingen klare bevis for at denne nye skadelige programvaren er relatert til en etablert større familie. Alt Sophos klarte å oppdage var at piratkopieringsprogramvaren ble opprettet ved hjelp av samme pakker som ble brukt i Qbot-familien av skadelig programvare. De to er imidlertid ikke beslektet på noen annen meningsfull måte.