È stata scoperta una nuova campagna di malware, chiamata Vigilante, il cui scopo principale è l’opposto dei motivi più comuni del malware. Invece di rubare password o estorcere alle vittime un riscatto, il malware impedisce ai computer della vittima di visitare siti Web di pirateria software.
Cos’è successo?
Secondo i ricercatori di Sophos, il malware funziona apportando modifiche al file HOSTS sul sistema compromesso, in un metodo efficace per impedire a un computer di raggiungere determinati indirizzi web.
- Il malware Vigilante non è dotato di alcun meccanismo di persistenza, quindi qualsiasi utente infetto può facilmente annullare l’effetto che ha su un computer locale semplicemente rimuovendo le voci interessate aggiunte al file HOSTS.
- Il malware aggiunge un gran numero di domini web (da poche centinaia a più di 1000) al file HOSTS, indirizzandoli all’indirizzo localhost, 127[.]0[.]0[.]1.
- Una volta inserite le voci nel file HOSTS, qualsiasi richiesta per questi siti Web verrebbe risolta nell’indirizzo localhost, impedendo così l’accesso al sito effettivo.
- Il nome del software piratato viene inviato a un sito web. Inoltre, dal sito web viene fornito un payload secondario al sistema dell’utente.
Il payload secondario è un file ProcessHacker[.]jpg che esegue varie funzioni aggiuntive per impedire al sistema infetto di eseguire il software piratato. Modifica il file HOSTS chiedendo a Windows l’elevazione dei privilegi.
Diversi modi per diffondere malware
Gli aggressori hanno utilizzato diversi modi per diffondere il malware, attirando verso software pirata le persone che visitano i popolari siti di torrent. Questi file tendono ad essere file eseguibili solitari.
- È stato osservato che uno di questi metodi utilizza Discord per ospitare il malware mascherato da copie piratate di numerosi pacchetti software.
- Altre copie si diffondono tramite BitTorrent e prendono il nome da noti download piratati, come strumenti di produttività e prodotti per la sicurezza. I file aggiuntivi sembrano essere condivisi dall’account ThePirateBay.
- Inoltre, il malware controlla un sistema infetto per vedere se può stabilire una connessione di rete in uscita. Se può, prova a contattare un URI sul dominio 1flchier[.]com.
Conclusioni
Questo nuovo malware Vigilante è probabilmente gestito da un individuo o un gruppo che cerca di proteggere le persone dall’utilizzo di software piratato bloccando i loro siti web. Tuttavia, apportare modifiche non autorizzate al sistema interno di qualcuno è ancora un’attività criminale. Pertanto, gli utenti sono pregati di rimanere protetti evitando il download di software piratato o facendo clic su collegamenti di utenti sconosciuti.
