Эксперты SophosLabs пишут, что обнаружили странного вредоноса, который блокирует пиратские сайты, внося изменения в файл HOSTS на зараженной машине. Вредоносная кампания была активна с октября 2020 года по январь 2021 года, но в итоге сайт злоумышленников отключился.

«Один из самых странных случаев, что встречался мне за последнее время: один из моих коллег по лаборатории недавно рассказал мне о вредоносной кампании, основная цель которой, похоже, не совпадает со всеми наиболее распространенными мотивами малвари, — рассказывает главный исследователь SophosLabs Эндрю Брандт. — Вместо попытки похитить пароли или вымогать у владельца компьютера выкуп, эта малварь блокирует жертве доступ к большому количеству сайтов, посвященных пиратскому ПО, внося изменения в файл HOSTS в зараженной системе».

По словам Брандта, для распространения вредонос активно использовал именно то, с чем сам боролся —  Discord и торрент-трекеры с пиратским ПО. В Discord малварь распространялась как отдельные исполняемые файлы, которые притворялись пиратским софтом, как показано на иллюстрации ниже.

На таких торрент-трекерах, как The Pirate Bay, малварь, на первый взгляд, распространялась под видом самых обычных раздач, которые тоже имели readme, файлы NFO и ярлыков, ведущих обратно на thepiratebay.org.

Однако на самом деле многие файлы в таких торрентах не несли никакого смысла и добавлялись в качестве «заглушки», чтобы вредонос походил на типичный торрент-файл с пиратским софтом или фильмом.

«При более внимательном рассмотрении файлов, связанных с установщиком, становится ясно, что они не имеют никакой практической пользы и призваны придать архиву обычный вид, который обычно имеет контент, распространяющийся через Bittorrent, а также изменить значения хэшей добавлением случайных данных», — объясняет эксперт.

Если пользователь загружал и запускал такую малварь, она изменяла файл HOSTS в системе жертвы, добавляя многочисленные в него записи для пиратских сайтов (в основном, связанных с The Pirate Bay), указывающие на 127.0.0.1.

Также вредонос подключался к удаленному узлу, находящемуся под контролем хакеров, и передавал своим операторам название фейкового пиратского сотфа, благодаря которому заразился пользователь. Поскольку веб-серверы обычно регистрируют IP-адреса, злоумышленники узнавали как IP-адрес неудачливого пирата, так и название программного обеспечения или фильма, которые тот пытался скачать.

Неизвестно, для чего эта информация используется злоумышленниками, но исследователь предупреждает, что хакеры могут поделиться ею с интернет-провайдерами, правообладателями  или даже с правоохранительными органами. Также создатели вредоноса могут использовать эти данные в дальнейших атаках, например, вымогая у пользователей деньги за молчание.

 

5 комментариев

  1. Аватар

    toxicshadow

    18.06.2021 в 14:42

    Спасибо за зеркала TPB!!!

  2. Аватар

    VitalyOrbitsoft

    18.06.2021 в 15:17

    Почему малварь? Ничего не шифрует, файлы/пароли не ворует. Просто запрещает переход на потенциально опасные сайты и отправляет информацию о вредоносах операторам. Может это детище занимающихся интеренет-безопасностью.

  3. Аватар

    miradmin

    18.06.2021 в 17:36

    «…хакеры могут поделиться ею с интернет-провайдерами, правообладателями или даже с правоохранительными органами…»

    Вот, среди них, и ищите создателей или заказчиков этого зловреда…

  4. Аватар

    0d8bc7

    19.06.2021 в 06:43

    Ну так это же МАЛВАРЬ) Вот что действительно выбивается из общей картины — «малварь», против воли пользователя закрывающая дыры безопасности (видел как-то, вроде, на «Хакере» как минимум одну статью о таком явлении). А тут — ну, да, не кража паролей и не шифрование данных, ну придумали просто какое-то другое применение, бывает, ничего особенного. Всё равно что там деструктивные цели, что тут. Пока человек мыслит в деструктивной, а не конструктивной парадигме, он может придумывать любую, вроде бы, уникальную ерунду. Ну и что? Можно поставить нейросеть с ГСЧ генерировать идеи, и результат будет примерно таким же, т.к. у нейросети с ГСЧ точно также нет адекватного понимания, что нужно для развития мира, разве что какие-то уже собранные данные можно туда забить.

  5. Аватар

    Anton

    21.06.2021 в 12:16

    Возможно это просто проба пера

Оставить мнение