Dziwne złośliwe oprogramowanie blokuje ofiarom dostęp do stron z pirackim oprogramowaniem

Badacze bezpieczeństwa z Sophos niedawno wyśledzili i udokumentowali jedną z najbardziej nietypowych kampanii szkodliwego oprogramowania od bardzo długiego czasu. To dziwne nowe złośliwe oprogramowanie nie próbuje wyłuskać wszystkich danych logowania z przeglądarki ani zaszyfrować plików i poprosić o okup w bitcoinach. Jedyne, co robi nowe złośliwe oprogramowanie, to blokowanie systemowi ofiary dostępu do stron zawierających piractwo programowe.

Około dekadę temu Sophos po raz kolejny natknął się na złośliwe oprogramowanie, które jest „prawie identyczne” pod względem funkcjonalności. Nowe złośliwe oprogramowanie jest dość skromne w swoich możliwościach, ale także wydajne w swojej prostocie.

Mimo że nie ma mechanizmów trwałości, złośliwe oprogramowanie modyfikuje plik HOSTS systemu Windows, który zawiera mapę systemu lokalnego, która może kierować nazwy domen na określone adresy IP. Złośliwe oprogramowanie wstawia od stu do tysiąca domen powiązanych z pirackimi stronami internetowymi i mapuje je wszystkie tak, aby wskazywały na 127.0.0.1 - loclahost. To skutecznie uniemożliwia użytkownikowi dostęp do tych domen z przeglądarki.

Nie ma żadnej dodatkowej funkcji, która pozwalałaby złośliwemu oprogramowaniu na ponowne dodanie tych wpisów w plikach HOSTS, a jeśli użytkownik zorientuje się, co się dzieje i ręcznie edytuje plik, dostęp zostanie przywrócony do czasu ponownego uruchomienia złośliwego oprogramowania.

Metody dystrybucji opisane w badaniu obejmują serwery Discord, które zawierają rzekome pirackie kopie oprogramowania i gier. Ponadto witryny z torrentami, które są powszechnie używane do redystrybucji pirackiego oprogramowania, również zawierały ten sam ładunek złośliwego oprogramowania, spakowany w pliki torrentowe nazwane na cześć bardzo popularnych pobrań i multimediów, które były bardzo poszukiwane.

Gdy złośliwe oprogramowanie wdroży i zmodyfikuje plik HOSTS, próbuje również nawiązać połączenie wychodzące z domeną o nazwie 1flchier dor com. Jeśli połączenie się powiedzie, uzyskuje się dodatkowy ładunek. Ładunek jest zwykle nazywany ProcessHacker.jpg i jest to tak naprawdę plik wykonywalny, który wykonuje szereg dodatkowych czynności, aby powstrzymać system ofiary przed uruchomieniem i dostępem do pirackiego oprogramowania.

Ręczne czyszczenie systemów zaatakowanych przez złośliwe oprogramowanie jest stosunkowo łatwe. Otwarcie pliku HOSTS w zwykłym edytorze tekstu i usunięcie wszystkich linii, które przekierowują różne domeny do 127.0.0.1 i hosta lokalnego, wystarczy, aby wszystko wyjaśnić.

Nie ma wyraźnych dowodów na to, że to nowe złośliwe oprogramowanie jest powiązane z ugruntowaną większą rodziną. Jedyne, co udało się firmie Sophos wykryć, to to, że blokujące piractwo złośliwe oprogramowanie zostało stworzone przy użyciu tego samego programu pakującego, co w rodzinie złośliwego oprogramowania Qbot. Te dwie rzeczy nie są jednak powiązane w żaden inny znaczący sposób.