Novootkriveni malver Vigilante pronalazi softverske pirate i blokira ih
Istraživač je otkrio jedno od neobičnijih nalaza u analima zlonamernog softvera. Booby-trapped fajlovi otkrivaju programe za pirateriju i pokušavaju da spreče neovlašćeno preuzimanje u budućnosti. Fajlovi su dostupni na lokacijama koje posećuju oni koji skidaju piratski softver.
Većina zlonamernih softvera pokušava da ukrade stvari, Vigilante cilja na pirateriju
Vigilante, kako je malver nazvao glavni istraživač SophosLabs-a Andrew Brandt, instalira se kada žrtve preuzmu i izvrše ono što smatraju piratskim softverom ili igrama. Iza kulisa, malver prijavljuje ime fajla koji je izvršen na server koji kontroliše napadač, zajedno sa IP adresom računara žrtava. Kao završni detalj, Vigilante pokušava da modifikuje računare žrtava tako da više ne mogu da pristupe thepiratebay.com i još hiljadama drugih piratskih lokacija. Zaista je neobično videti ovako nešto jer se iza većine malvera obično nalazi samo jedan motiv: krađa stvari. Bez obzira da li su to lozinke, intelektualna svojina ili pristup, ili čak ciklusi procesora za kopanje kripto valute, motiv je krađa. Ali ne i u ovom slučaju.
Nakon što žrtve izvrše trojanizovani fajl, ime fajla i IP adresa šalju se u obliku HTTP GET zahteva napadaču 1flchier[.]com, koji se lako može zameniti sa uslugom cloud skladištenja 1fichier (ovaj drugi sadrži slovo L kao treći znak u imenu umesto I). Zlonamerni softver u fajlovima je uglavnom identičan, osim imena fajlova koje generiše u web zahtevima. Vigilante nastavlja sa ažuriranjem fajla na zaraženom računaru, koja sprečava njegovo povezivanje sa The Pirate Bay i drugim Internet destinacijama za koje je poznato da ih koriste ljudi koji skidaju piratski softver.
Konkretno, malver ažurira Hosts, fajl koja uparuje jednu ili više adresa domena u različite IP adrese. Zlonamerni softver uparuje thepiratebay.com sa 127.0.0.1, IP adresom sa specijalnom namenom, koja se često naziva localhost ili loopback adresom, koju računari koriste za identifikaciju svoje stvarne IP adrese drugim sistemima. Mapirajući domene na lokalnog hosta, zlonamerni softver osigurava da računar više ne može da pristupi lokacijama. Jedini način da se poništi blokiranje je editovanje Hosts fajlova, da bi se uklonili unosi. Brandt je otkrio da neki od trojanaca vrebaju u softverskim paketima dostupnim na Discordu. Otkrio je da se drugi maskiraju kao popularne igre, alati za produktivnost i sigurnosni proizvodi dostupni putem BitTorrenta.
Postoje i druge neobičnosti. Mnogi trojanizovani izvršni fajlovi su digitalno potpisani pomoću lažnog alata za potpisivanje koda. Potpisi sadrže niz nasumično generisana velika i mala slova od 18 znakova. Valjanost sertifikata započela je danom kada su datoteke postale dostupne i treba da istekne 2039. Vigilante nema stalan metod, što znači da nema načina da ostane instaliran, odnosno zaraženi moraju samo da edituju svoje Hosts fajlove, da bi bili “dezinfikovani”.
Izvor: Arstechnica