Malware estranho impede que as vítimas acessem sites de software pirata
Pesquisadores de segurança da Sophos rastrearam e documentaram recentemente uma das campanhas de malware mais incomuns em muito tempo. Este novo malware estranho não está tentando extrair todas as suas informações de login do seu navegador, nem está tentando embaralhar seus arquivos e pedir resgate de bitcoins. Tudo o que o novo malware faz é bloquear o acesso do sistema da vítima a sites de pirataria de software.
Cerca de uma década atrás, o Sophos mais uma vez encontrou malware que é "quase idêntico" em termos de funcionalidade. O novo malware é bastante humilde em suas próprias habilidades, mas também eficiente em sua simplicidade.
Mesmo que não tenha mecanismos de persistência, o malware modifica o arquivo HOSTS do Windows, que contém um mapa do sistema local que pode direcionar nomes de domínio para endereços IP específicos. O malware insere de cem a mil domínios associados a sites de pirataria e remapeia todos para apontar para 127.0.0.1 - o loclahost. Isso evita efetivamente que o usuário acesse esses domínios de um navegador.
Não há nenhuma funcionalidade adicional que permita ao malware adicionar novamente as entradas do arquivo HOSTS e, se um usuário descobrir o que está acontecendo e editar o arquivo manualmente, o acesso será restaurado até que o malware seja executado mais uma vez.
Os métodos de distribuição descritos na pesquisa incluem servidores Discord que carregam supostas cópias pirateadas de software e jogos. Além disso, os sites de torrent comumente usados para redistribuir software pirateado também tinham a mesma carga de malware, empacotada em arquivos torrent com nomes de downloads muito populares e mídia muito procurada.
Depois que o malware implanta e modifica o arquivo HOSTS, ele também tenta uma conexão de saída com um domínio denominado 1flchier dor com. Se a conexão for bem-sucedida, uma carga adicional será obtida. A carga útil geralmente é chamada de ProcessHacker.jpg e é, na verdade, um arquivo executável que executa uma série de etapas extras para impedir que o sistema da vítima execute e acesse software pirata.
A limpeza manual de sistemas afetados pelo malware é relativamente fácil. Abrir o arquivo HOSTS em um editor de texto simples e remover todas as linhas que redirecionam vários domínios para 127.0.0.1 e o localhost é o suficiente para esclarecer as coisas.
Não há evidências claras de que esse novo malware esteja relacionado a uma família maior já estabelecida. Tudo o que o Sophos conseguiu detectar foi que o malware bloqueador de pirataria foi criado usando o mesmo compactador usado na família de malware Qbot. Os dois, entretanto, não estão relacionados de nenhuma outra maneira significativa.
