Νέο malware εμποδίζει τα θύματα να επισκεφτούν “πειρατικά sites”

On

Ιούν 17, 2021

Ερευνητές

ασφαλείας

της

Sophos

ανακάλυψαν

μια

περίεργη malware εκστρατεία

που δεν έχει κοινά στοιχεία με τις τυπικές

επιθέσεις

(διείσδυση σε ένα

σύστημα

,

κλοπή πληροφοριών

κλπ). Αντιθέτως, το malware που χρησιμοποιείται σε αυτή την εκστρατεία,

εμποδίζει τους

χρήστες

να επισκεφτούν “

πειρατικά sites

”

τροποποιώντας το HOSTS file στο μολυσμένο

σύστημα

.

πειρατικά sites - Νέο malware εμποδίζει τα θύματα να επισκεφτούν "πειρατικά sites" — Νέο malware εμποδίζει τα

θύματα

να επισκεφτούν “

πειρατικά sites

”

Οι φορείς της πρωτότυπης αυτής εκστρατείας χρησιμοποιούν διάφορους τρόπους διανομής του malware. Σε μερικές περιπτώσεις εμφανίζονται ως

αρχεία

μεταμφιεσμένα σε software packages που προωθούνται μέσω της υπηρεσίας συνομιλίας Discord, ενώ σε άλλες η διανομή γίνεται απευθείας μέσω torrent.

Δείτε επίσης

: WordPress: Πειρατικά themes και plugins «απειλούν» τα sites!

Ο δημιουργός έχει χρησιμοποιήσει ονόματα πολλών

software brands, παιχνιδιών, εργαλείων productivity tools και εργαλείων ασφάλειας για να κρύψει το κακόβουλο λογισμικό

, σύμφωνα με τον κύριο ερευνητή

Andrew Brandt

. Έτσι έχει καταφέρει να στοχεύσει διάφορους

χρήστες

, από επαγγελματίες έως gamers κλπ.

“

Τα

αρχεία

που φαίνεται να φιλοξενούνται στην κοινή χρήση αρχείων του Discord τείνουν να είναι εκτελέσιμα

αρχεία

“, λέει ο Brandt.

Εάν γίνει διπλό κλικ στο εκτελέσιμο κακόβουλο λογισμικό, εμφανίζεται ένα μήνυμα που ισχυρίζεται ότι το

σύστημα

του θύματος δεν διαθέτει ένα σημαντικό αρχείο .DLL. Στο παρασκήνιο, το κακόβουλο λογισμικό εγκαθιστά κι ένα δεύτερο payload, το οποίο ονομάζεται

ProcessHacker

. Αυτό το payload είναι υπεύθυνο για την τροποποίηση του HOSTS file στο μηχάνημα-στόχο.

Δείτε επίσης

:

The Mandalorian

: Η πιο πειρατικά κατεβασμένη σειρά για το 2020

Ωστόσο, σε πιο καινούρια μηχανήματα, ενδέχεται να απαιτούνται συγκεκριμένες άδειες για την τροποποίηση του HOSTS file.

malware min - Νέο malware εμποδίζει τα θύματα να επισκεφτούν "πειρατικά sites"

“

Η τροποποίηση του HOSTS file είναι μια πρόχειρη αλλά αποτελεσματική μέθοδος για την

αποτροπή της πρόσβασης ενός

υπολογιστή

σε μια web διεύθυνση

“, λέει η Sophos.

“

Οι στόχοι και τα εργαλεία του φορέα της malware εκστρατείας υποδηλώνουν ότι αυτό θα μπορούσε να είναι

ένα είδος επιχείρησης κατά της πειρατείας

“,

σχολίασε ο Brandt

. “Ωστόσο, οι διαφορετικοί στόχοι του εισβολέα – από gamers έως επαγγελματίες – σε συνδυασμό με τον περίεργο συνδυασμό παλαιών και νέων εργαλείων, TTPs και την περίεργη λίστα των sites που μπλοκάρονται από το κακόβουλο λογισμικό, κάνουν τον τελικό σκοπό αυτής της εκστρατείας να μοιάζει λίγο πιο μπερδεμένος

“.

Δείτε επίσης

: DoJ ΗΠΑ: Κατηγορεί Λετονή για την

ανάπτυξη

του Trickbot malware

Το κακόβουλο λογισμικό δεν έχει σημαντικό αντίκτυπο στους

χρήστες

(εκτός κι αν θέλουν να επισκέπτονται

πειρατικά sites

και είναι fans των cracked software), αλλά η Sophos λέει ότι αν το HOSTS file έχει τροποποιηθεί, μπορεί να καθαριστεί εκτελώντας το Notepad ως administrator, και τροποποιώντας το αρχείο στο c: Windows System32 Drivers etc hosts.