Странное вредоносное ПО блокирует доступ жертв к сайтам пиратского программного обеспечения

Исследователи в области безопасности с Sophos недавно отследили и задокументировали одну из самых необычных вредоносных кампаний за очень долгое время. Это странное новое вредоносное ПО не пытается очистить всю вашу регистрационную информацию из вашего браузера и не пытается скремблировать ваши файлы и запрашивать выкуп в биткойнах. Все, что делает новое вредоносное ПО, - это блокирует систему жертвы от доступа к веб-сайтам пиратского программного обеспечения.

Около десяти лет назад Sophos снова столкнулся с вредоносным ПО, «почти идентичным» с точки зрения функциональности. Новое вредоносное ПО довольно скромно по своим возможностям, но также эффективно в своей простоте.

Несмотря на то, что у него нет механизмов сохранения, вредоносная программа изменяет файл Windows HOSTS, который содержит карту локальной системы, которая может направлять доменные имена на определенные IP-адреса. Вредоносная программа вставляет от сотни до тысячи доменов, связанных с пиратскими веб-сайтами, и переназначает их все так, чтобы они указывали на 127.0.0.1 - loclahost. Это эффективно предотвращает доступ пользователя к этим доменам из браузера.

Нет дополнительных функций, которые позволяют вредоносной программе повторно добавлять эти записи файла HOSTS, и если пользователь выясняет, что происходит, и редактирует файл вручную, доступ будет восстановлен до тех пор, пока они не запустят вредоносное ПО еще раз.

Методы распространения, описанные в исследовании, включают серверы Discord, на которых хранятся предполагаемые пиратские копии программного обеспечения и игр. Кроме того, торрент-сайты, которые обычно используются для распространения пиратского программного обеспечения, также имеют ту же полезную нагрузку вредоносного ПО, упакованную в торрент-файлы, названные в честь очень популярных загрузок и носителей, пользующихся большим спросом.

После развертывания и изменения файла HOSTS вредоносная программа также пытается установить исходящее соединение с доменом с именем 1flchier dor com. Если соединение успешно, получается дополнительная полезная нагрузка. Полезная нагрузка обычно называется ProcessHacker.jpg и на самом деле представляет собой исполняемый файл, который выполняет ряд дополнительных шагов, чтобы помешать системе-жертве запустить пиратское программное обеспечение и получить к нему доступ.

Ручная очистка систем, затронутых вредоносным ПО, относительно проста. Чтобы прояснить ситуацию, достаточно открыть файл HOSTS в текстовом редакторе и удалить все строки, которые перенаправляют различные домены на 127.0.0.1 и localhost.

Нет четких доказательств того, что это новое вредоносное ПО связано с уже существующим большим семейством. Все, что удалось обнаружить Sophos, это то, что вредоносная программа для блокировки пиратства была создана с использованием того же упаковщика, что и вредоносное ПО семейства Qbot. Однако они не связаны никаким другим значимым образом.