Vreemde malware voorkomt dat slachtoffers toegang krijgen tot illegale softwaresites
Beveiligingsonderzoekers van Sophos hebben onlangs een van de meest ongewone malwarecampagnes in een zeer lange tijd gevolgd en gedocumenteerd. Deze vreemde nieuwe malware probeert niet al uw inloggegevens uit uw browser te schrapen, noch probeert het uw bestanden te versleutelen en om losgeld voor bitcoins te vragen. Het enige dat de nieuwe malware doet, is het systeem van het slachtoffer de toegang tot websites voor softwarepiraterij blokkeren.
Ongeveer tien jaar geleden kwam Sophos opnieuw malware tegen die qua functionaliteit "bijna identiek" is. De nieuwe malware is vrij bescheiden in zijn eigen mogelijkheden, maar ook efficiënt in zijn eenvoud.
Hoewel het geen persistentiemechanismen heeft, wijzigt de malware het Windows HOSTS-bestand dat een lokale systeemkaart bevat die domeinnamen naar specifieke IP-adressen kan leiden. De malware voegt overal honderd tot duizend domeinen in die verband houden met piraterijwebsites en wijst ze allemaal opnieuw toe om te verwijzen naar 127.0.0.1 - de loclahost. Dit voorkomt effectief dat de gebruiker toegang krijgt tot die domeinen vanuit een browser.
Er is geen extra functionaliteit waarmee de malware die HOSTS-bestandsvermeldingen opnieuw kan toevoegen en als een gebruiker erachter komt wat er aan de hand is en het bestand handmatig bewerkt, wordt de toegang hersteld totdat ze de malware nog een keer uitvoeren.
De distributiemethoden die in het onderzoek worden beschreven, omvatten Discord-servers die vermeende illegale kopieën van software en games bevatten. Bovendien hadden torrent-websites die vaak worden gebruikt om illegale software opnieuw te distribueren, dezelfde malware-payload, verpakt in torrent-bestanden die zijn vernoemd naar zeer populaire downloads en media die zeer gewild waren.
Zodra de malware het HOSTS-bestand implementeert en wijzigt, probeert het ook een uitgaande verbinding te maken met een domein met de naam 1flchier dor com. Als de verbinding slaagt, wordt een extra payload verkregen. De payload wordt gewoonlijk ProcessHacker.jpg genoemd en is in feite een uitvoerbaar bestand dat een aantal extra stappen uitvoert om te voorkomen dat het slachtoffersysteem illegale software uitvoert en er toegang toe krijgt.
Het handmatig opschonen van systemen die door de malware zijn getroffen, is relatief eenvoudig. Het HOSTS-bestand openen in een platte teksteditor en alle regels verwijderen die verschillende domeinen omleiden naar 127.0.0.1 en de localhost is voldoende om de zaken op te helderen.
Er is geen duidelijk bewijs dat deze nieuwe malware verband houdt met een gevestigde grotere familie. Het enige dat Sophos kon detecteren, was dat de malware die de piraterij blokkeert, is gemaakt met dezelfde packer die wordt gebruikt in de Qbot-malwarefamilie. De twee zijn echter op geen enkele andere betekenisvolle manier met elkaar verbonden.
