Technologie

Cet étrange malware empêche l’accès aux sites de hackers

Une souche de malware a été détectée avec une intention étrange concernant le piratage et le sens moral de ses victimes. Les chercheurs de Sophos ont déclaré jeudi avoir découvert des campagnes de logiciels malveillants qui ne suivaient pas les modèles de comportement normaux, tels que les intrusions dans le système, le vol d’informations et la fraude bancaire. Au lieu de cela, le malware « empêche les utilisateurs infectés de visiter de nombreux sites Web dédiés aux logiciels piratés ».

Il existe différents modes de diffusion. Certains échantillons sont intégrés dans une archive déguisée en logiciel annoncé par le service de discussion Discord, tandis que d’autres sont distribués directement via le protocole torrent.

Selon le chercheur principal Andrew Brandt, les auteurs utilisent les noms de nombreuses marques de logiciels, de jeux, d’outils de productivité et de solutions de cybersécurité pour masquer les logiciels malveillants, de sorte que même les experts qui ne veulent pas acheter de logiciels aux joueurs. , semble cibler tout le monde. Licence.

Fissures dans Minecraft 1.5.2 [Full Installer] [Online] [Server List]

Les packages malveillants sont nommés dans des formats courants utilisés pour distribuer des logiciels piratés, tels que “Minecraft 1.5.2 Cracked”. [Full Installer] [Online] [Server List]Le fichier est marqué pour apparaître en téléchargement depuis The Pirate Bay.

“Les fichiers qui semblent être hébergés sur un partage de fichiers Discord ont tendance à être des fichiers exécutables isolés”, explique Brandt. “Distribué via Bittorrent est conditionné d’une manière similaire à la façon dont les logiciels piratés sont généralement partagés à l’aide de ce protocole. Il est ajouté aux fichiers compressés, y compris les fichiers texte et autres fichiers auxiliaires. Il comprend également de bons vieux raccourcis Internet. Fichiers. ”

Lorsque vous double-cliquez sur le fichier exécutable du logiciel malveillant, un message contextuel apparaît indiquant que le fichier .DLL est manquant sur le système de la victime. En arrière-plan, le malware obtient une charge utile secondaire appelée ProcessHacker à partir d’un site Web externe. Cette charge utile est responsable de la modification du fichier HOSTS sur la machine cible.

Les logiciels malveillants n’ont pas de mécanisme de persistance

Le processus de blocage des sites de piratage de logiciels malveillants est basique car il ajoute simplement une liste de centaines à plus de 1000 domaines Web et les pointe vers l’adresse de l’hôte local. Curieusement, certains sites Web de la liste de blocage n’ont rien à voir avec le piratage.

Cependant, sur les machines modernes, des privilèges peuvent être requis pour modifier le fichier HOSTS, et tous les échantillons n’ont pas déclenché une élévation des privilèges des logiciels malveillants sur les systèmes Windows. Si cette escalade ne se produisait pas, la modification du fichier HOSTS échouait.

« La modification du fichier HOSTS est un moyen simple mais efficace d’empêcher votre ordinateur d’atteindre votre adresse Web », explique Sophos. “Les logiciels malveillants fonctionnent, mais ils n’ont pas de mécanisme de persistance, ils sont donc basiques. N’importe qui peut supprimer une entrée après l’avoir ajoutée au fichier HOSTS.”

Opération d’autodéfense anti-piratage grossièrement compilée

Pour certains packages de logiciels malveillants, les opérateurs ajoutent des fichiers groupés au programme d’installation, peut-être pour améliorer leur apparence de légitimité en tant que logiciel piraté. Les fichiers .nfo contiennent des insultes racistes, mais la plupart de ces fichiers sont du code et des images indésirables.

“À première vue, les cibles et les outils suggèrent qu’il pourrait s’agir d’une sorte d’opération d’autodéfense anti-piratage grossièrement compilée”, a commenté Brandt. “Mais des joueurs aux pros, la plupart du public cible potentiel de l’attaquant est un peu vague, combiné à une étrange combinaison d’anciens et de nouveaux outils, TTP, et une étrange liste de sites Web bloqués par des logiciels malveillants. C’est le but ultime de l’opération . ”

Le malware est rudimentaire et n’aura pas d’impact significatif sur l’utilisateur à moins que l’utilisateur soit un fan de logiciels piratés ou de contenu piraté, mais si le fichier HOSTS est modifié, Sophos exécutera le Bloc-notes en tant qu’administrateur. Il dit qu’il peut être nettoyé en haut. c: Windows System32 Drivers etc hôtes, Et supprimer les références.

Source : “ZDNet.com”

(function(d, s, id) {
var js, fjs = d.getElementsByTagName(s)[0];
if (d.getElementById(id)) return;
js = d.createElement(s); js.id = id;
js.src = “//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1”;
fjs.parentNode.insertBefore(js, fjs);
}(document, ‘script’, ‘facebook-jssdk’));

Cet étrange malware empêche l’accès aux sites de hackers

Source link Cet étrange malware empêche l’accès aux sites de hackers

Back to top button