Ερευνητές ασφαλείας της Sophos ανακάλυψαν μια περίεργη malware εκστρατεία που δεν έχει κοινά στοιχεία με τις τυπικές επιθέσεις (διείσδυση σε ένα σύστημα, κλοπή πληροφοριών κλπ). Αντιθέτως, το malware που χρησιμοποιείται σε αυτή την εκστρατεία, εμποδίζει τους χρήστες να επισκεφτούν “πειρατικά sites” τροποποιώντας το HOSTS file στο μολυσμένο σύστημα.
Οι φορείς της πρωτότυπης αυτής εκστρατείας χρησιμοποιούν διάφορους τρόπους διανομής του malware. Σε μερικές περιπτώσεις εμφανίζονται ως αρχεία μεταμφιεσμένα σε software packages που προωθούνται μέσω της υπηρεσίας συνομιλίας Discord, ενώ σε άλλες η διανομή γίνεται απευθείας μέσω torrent.
Δείτε επίσης: WordPress: Πειρατικά themes και plugins «απειλούν» τα sites!
Ο δημιουργός έχει χρησιμοποιήσει ονόματα πολλών software brands, παιχνιδιών, εργαλείων productivity tools και εργαλείων ασφάλειας για να κρύψει το κακόβουλο λογισμικό, σύμφωνα με τον κύριο ερευνητή Andrew Brandt. Έτσι έχει καταφέρει να στοχεύσει διάφορους χρήστες, από επαγγελματίες έως gamers κλπ.
“Τα αρχεία που φαίνεται να φιλοξενούνται στην κοινή χρήση αρχείων του Discord τείνουν να είναι εκτελέσιμα αρχεία“, λέει ο Brandt.
Εάν γίνει διπλό κλικ στο εκτελέσιμο κακόβουλο λογισμικό, εμφανίζεται ένα μήνυμα που ισχυρίζεται ότι το σύστημα του θύματος δεν διαθέτει ένα σημαντικό αρχείο .DLL. Στο παρασκήνιο, το κακόβουλο λογισμικό εγκαθιστά κι ένα δεύτερο payload, το οποίο ονομάζεται ProcessHacker. Αυτό το payload είναι υπεύθυνο για την τροποποίηση του HOSTS file στο μηχάνημα-στόχο.
Δείτε επίσης: The Mandalorian: Η πιο πειρατικά κατεβασμένη σειρά για το 2020
Ωστόσο, σε πιο καινούρια μηχανήματα, ενδέχεται να απαιτούνται συγκεκριμένες άδειες για την τροποποίηση του HOSTS file.
“Η τροποποίηση του HOSTS file είναι μια πρόχειρη αλλά αποτελεσματική μέθοδος για την αποτροπή της πρόσβασης ενός υπολογιστή σε μια web διεύθυνση“, λέει η Sophos.
“Οι στόχοι και τα εργαλεία του φορέα της malware εκστρατείας υποδηλώνουν ότι αυτό θα μπορούσε να είναι ένα είδος επιχείρησης κατά της πειρατείας“, σχολίασε ο Brandt. “Ωστόσο, οι διαφορετικοί στόχοι του εισβολέα – από gamers έως επαγγελματίες – σε συνδυασμό με τον περίεργο συνδυασμό παλαιών και νέων εργαλείων, TTPs και την περίεργη λίστα των sites που μπλοκάρονται από το κακόβουλο λογισμικό, κάνουν τον τελικό σκοπό αυτής της εκστρατείας να μοιάζει λίγο πιο μπερδεμένος“.
Δείτε επίσης: DoJ ΗΠΑ: Κατηγορεί Λετονή για την ανάπτυξη του Trickbot malware
Το κακόβουλο λογισμικό δεν έχει σημαντικό αντίκτυπο στους χρήστες (εκτός κι αν θέλουν να επισκέπτονται πειρατικά sites και είναι fans των cracked software), αλλά η Sophos λέει ότι αν το HOSTS file έχει τροποποιηθεί, μπορεί να καθαριστεί εκτελώντας το Notepad ως administrator, και τροποποιώντας το αρχείο στο c: \ Windows \ System32 \ Drivers \ etc \ hosts.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/356418/neo-malware-empodizei-thimata-na-episkeftoun-peiratika-sites/&media=https://www.secnews.gr/wp-content/uploads/2021/06/πειρατικά-sites-1.jpg&description=Αντιθέτως, το malware που χρησιμοποιείται σε αυτή την εκστρατεία, "εμποδίζει τους μολυσμένους χρήστες να επισκεφτούν "πειρατικά sites"){kind=link}