Konstiga skadliga program blockerar offer för åtkomst till piratkopierade programvarusidor
Säkerhetsforskare med Sophos spårade och dokumenterade nyligen en av de mest ovanliga skadekampanjerna på mycket lång tid. Den här konstiga nya skadliga programvaran försöker inte skrapa all din inloggningsinformation från din webbläsare, och inte heller försöker den skrapa dina filer och be om bitcoin-lösen. Allt som den nya skadliga programvaran gör är att blockera offrets system från att komma åt piratwebbplatser för programvara.
För ungefär ett decennium sedan stötte Sophos återigen på skadlig programvara som har "nästan identiska" när det gäller funktionalitet. Den nya skadliga programvaran är ganska ödmjuk i sina egna förmågor, men också effektiv i sin enkelhet.
Även om den inte har några uthållighetsmekanismer, ändrar skadlig programvara Windows HOSTS-filen som innehåller en lokal systemkarta som kan rikta domännamn till specifika IP-adresser. Den skadliga programvaran infogar var som helst från hundra till tusen domäner som är associerade med piratkopieringswebbplatser och remapsar dem alla för att peka på 127.0.0.1 - loclahost. Detta förhindrar effektivt användaren från att komma åt dessa domäner från en webbläsare.
Det finns ingen ytterligare funktionalitet som gör att skadlig programvara kan lägga till dessa HOSTS-filposter på nytt och om en användare räknar ut vad som händer och redigerar filen manuellt återställs åtkomst tills de kör skadlig programvara en gång till.
Distributionsmetoderna som beskrivs i forskningen inkluderar Discord-servrar som bär påstådda piratkopior av programvara och spel. Dessutom hade torrentwebbplatser som vanligtvis används för att omfördela piratkopierad programvara samma skadliga nyttolast, förpackade i torrentfiler uppkallade efter mycket populära nedladdningar och media som var mycket eftertraktade.
När skadlig programvara distribuerar och modifierar HOSTS-filen försöker den också en utgående anslutning till en domän som heter 1flchier dor com. Om anslutningen lyckas erhålls en extra nyttolast. Nyttolasten kallas vanligtvis ProcessHacker.jpg och är verkligen en körbar fil som utför ett antal extra steg för att hindra offretsystemet från att köra och få tillgång till piratkopierad programvara.
Manuell rengöring av system som har påverkats av skadlig programvara är relativt lätt. Att öppna HOSTS-filen i en ren textredigerare och ta bort alla rader som omdirigerar olika domäner till 127.0.0.1 och localhost räcker för att rensa upp saker.
Det finns inga tydliga bevis för att den här nya skadliga programvaran är relaterad till en etablerad större familj. Allt som Sophos lyckades upptäcka var att det piratkopierande blockeringsprogrammet skapades med samma förpackare som användes i Qbot-familjen med skadlig kod. De två är emellertid inte relaterade på något annat meningsfullt sätt.
