Este estranho malware impede que você visite sites piratas

Os pesquisadores da Sophos descobriram uma campanha de malware que visa impedir que usuários infectados visitem um grande número de sites dedicados à pirataria de software, modificando o arquivo HOSTS no sistema infectado.

Os vigilantes distribuem o malware vigilante em arquivos disfarçados como uma ampla variedade de pacotes de software que foram anunciados por meio do serviço de bate-papo Discord. Em outros casos, os pacotes foram distribuídos diretamente via torrent. 

Os vigilantes chamaram as páginas de jogos populares, ferramentas de produtividade e até produtos de segurança, circunstância que sugere que a campanha visa um grande público, de jogadores a profissionais. 

A campanha envolveu centenas de marcas de software diferentes representadas pelos nomes de arquivos encontrados em uma pesquisa no Virustotal por amostras relacionadas. Os arquivos descobertos pelos pesquisadores usam nomes como “Left 4 Dead 2 (v2.2.0.1 Last Stand + DLCs + MULTi19)” e “Minecraft 1.5.2 Cracked [Full Installer] [Online] [Server List]” que foram usados para atrair a atenção de usuários que procuram software pirateado.

“Os arquivos que parecem estar hospedados no compartilhamento de arquivos do Discord tendem a ser arquivos executáveis ​​solitários. Os distribuídos por meio do Bittorrent foram empacotados de uma forma que se assemelha mais a como o software pirata é normalmente compartilhado usando esse protocolo: adicionado a um arquivo compactado que também contém um arquivo de texto e outros arquivos auxiliares, bem como um atalho da Internet antiquado arquivo apontando para ThePirateBay. ” lê a análise publicada pela Sophos.

Ao clicar no executável, uma mensagem pop-up é exibida para a vítima informando que um arquivo .DLL está faltando em seu computador.

Em segundo plano, o malware busca a carga útil do próximo estágio, chamada ProcessHacker.jpg, de um domínio externo. O código malicioso modifica o arquivo HOSTS na máquina de destino de forma a bloquear algumas centenas a mais de 1.000 sites, a maioria dos quais fornece conteúdo relacionado à pirataria.

Os especialistas notaram que, em alguns casos, o malware não foi capaz de modificar o arquivo HOSTS devido à falta dos privilégios necessários.

A boa notícia é que as vítimas desse malware podem simplesmente remover as entradas de seus arquivos HOSTS para poder visitar novamente os sites bloqueados.

“Os usuários que executaram inadvertidamente um desses arquivos podem limpar seus arquivos HOSTS manualmente, executando uma cópia do Bloco de notas elevada (como administrador) e modificando o arquivo em c: \ Windows \ System32 \ Drivers \ etc \ hosts para remover todos as linhas que começam com “127.0.0.1” e fazem referência aos vários sites ThePirateBay (e outros). ” conclui o relatório.

Fonte: https://securityaffairs.co/