Gdy złośliwe oprogramowanie uniemożliwia dostęp do pirackich stron
3 lata ago
ZT-ZA, YggTorrent a wszyscy inni już nie odpowiadają, nawet po zmianie DNS? Możesz zostać zainfekowany tym nowym złośliwym oprogramowaniem wykrytym przez badaczy w Sophos. Bardzo dziwnie działające złośliwe oprogramowanie, które po prostu ma na celu blokowanie witryn hakerskich.
Odkrycie zostało zgłoszone przez Sophos w zeszłym tygodniu. Podczas monitorowania złośliwego oprogramowania inżynier w laboratorium wydawcy odkrył nową kampanię… całkiem oryginalną.
Radykalnie inna kampania od tych, które zwykle krążą w Internecie.
Treść
Złośliwe oprogramowanie blokujące pirackie strony
Chociaż motywacje mogą się różnić w zależności od zespołu hakerów, kampanie szkodliwego oprogramowania uruchamiane w Internecie prawie zawsze mają ten sam cel: kradzież danych użytkownika. Kradnij je lub zablokuj, aby później móc żądać okupu.
Tak jednak nie jest w przypadku tej nowej kampanii odkrytej przez inżynierów Sophos. Zamiast próbować ukraść dane użytkowników Internetu, ci ostatni bezpośrednio atakują plik hosta.
Jeśli nie wiesz, warto pamiętać, że system operacyjny używa pliku hosts, gdy komputer uzyskuje dostęp do sieci. Oczywiście dotyczy to sieci lokalnej, ale także Internetu. Gdy wymagane jest połączenie, system najpierw sprawdza ten plik, aby sprawdzić, czy żądany adres IP się tam pojawia.
Plik skierowanych hostów
Zainteresowanie rzeczą? Ten plik służy do filtrowania określonych adresów IP, a tym samym blokowania dostępu do określonych treści.
Co prowadzi nas właśnie do tej nowej kampanii złośliwego oprogramowania. Zamiast atakować cały system, specjalnie opracowane oprogramowanie atakuje bezpośrednio plik hosta systemu… i dodaje wpisy.
W sumie i zgodnie z informacjami dostarczonymi przez badaczy stojących za odkryciem, program doda od kilkuset do ponad tysiąca domen do pliku hosts, aby przekierować je na localhost, a tym samym na komputer internauty. .
Malware dystrybuowane na Discord i BitTorrent
Jest jednak coś ciekawszego. Analizując te domeny, naukowcy odkryli, że wszystkie zablokowane adresy dotyczyły stron pirackich, a nawet niektórych platform hostingowych, takich jak 1fichier. Dotyczy to również witryn takich jak ThePirateBay.
Aby rozpowszechniać to złośliwe oprogramowanie, jego projektanci polegali na pirackich fałszywych kopiach gier i aplikacji. Kopie krążące w szczególności na Discordzie lub BitTorrent.
Do tej pory Sophos nie był w stanie określić tożsamości osób stojących za tymi kampaniami. Jeśli jednak nie możesz uzyskać dostępu do niektórych witryn, pomocne może być sprawdzenie pliku hosts, aby upewnić się, że nie ma takich zmian.
Powiązane posty