Flash news

Il malware Vigilante impedisce l’accesso ai siti di pirateria

È stata scoperta una nuova campagna di malware, chiamata Vigilante, il cui scopo principale è l’opposto dei motivi più comuni del malware. Invece di rubare password o estorcere alle vittime un riscatto, il malware impedisce ai computer della vittima di visitare siti Web di pirateria software.

Cos’è successo?

Secondo i ricercatori di Sophos, il malware funziona apportando modifiche al file HOSTS sul sistema compromesso, in un metodo efficace per impedire a un computer di raggiungere determinati indirizzi web.

  • Il malware Vigilante non è dotato di alcun meccanismo di persistenza, quindi qualsiasi utente infetto può facilmente annullare l’effetto che ha su un computer locale semplicemente rimuovendo le voci interessate aggiunte al file HOSTS. 
  • Il malware aggiunge un gran numero di domini web (da poche centinaia a più di 1000) al file HOSTS, indirizzandoli all’indirizzo localhost, 127[.]0[.]0[.]1. 
  • Una volta inserite le voci nel file HOSTS, qualsiasi richiesta per questi siti Web verrebbe risolta nell’indirizzo localhost, impedendo così l’accesso al sito effettivo. 
  • Il nome del software piratato viene inviato a un sito web. Inoltre, dal sito web viene fornito un payload secondario al sistema dell’utente.

Il payload secondario è un file ProcessHacker[.]jpg che esegue varie funzioni aggiuntive per impedire al sistema infetto di eseguire il software piratato. Modifica il file HOSTS chiedendo a Windows l’elevazione dei privilegi.

Diversi modi per diffondere malware

Gli aggressori hanno utilizzato diversi modi per diffondere il malware, attirando verso software pirata le persone che visitano i popolari siti di torrent. Questi file tendono ad essere file eseguibili solitari.

  • È stato osservato che uno di questi metodi utilizza Discord per ospitare il malware mascherato da copie piratate di numerosi pacchetti software.
  • Altre copie si diffondono tramite BitTorrent e prendono il nome da noti download piratati, come strumenti di produttività e prodotti per la sicurezza. I file aggiuntivi sembrano essere condivisi dall’account ThePirateBay.
  • Inoltre, il malware controlla un sistema infetto per vedere se può stabilire una connessione di rete in uscita. Se può, prova a contattare un URI sul dominio 1flchier[.]com.

Conclusioni

Questo nuovo malware Vigilante è probabilmente gestito da un individuo o un gruppo che cerca di proteggere le persone dall’utilizzo di software piratato bloccando i loro siti web. Tuttavia, apportare modifiche non autorizzate al sistema interno di qualcuno è ancora un’attività criminale. Pertanto, gli utenti sono pregati di rimanere protetti evitando il download di software piratato o facendo clic su collegamenti di utenti sconosciuti.