A equipa de pesquisa da SophosLabs acaba de anunciar a descoberta de um dos malwares mais fora do comum de sempre: ficheiros infectados que denunciam as pessoas que descarregam software ilegalmente, o mesmo malware também bloqueia o acesso a sites de downloads piratas. Estes ficheiros já estão presentes em vários sites de software pirata.
A SophosLabs chamou a este novo malware ‘Vigilante’, que é instalado quando se tenta usar um ficheiro descarregado ilegalmente e que o utilizador pensa ser software pirata. Assim que é activado, o malware envia o nome do ficheiro que foi executado para um servidor controlado pelo atacante em conjunto com o endereço IP do computador que foi infectado. Para completar, o Vigilante tenta modificar o software no computador atacado para que deixe de ser possível aceder a mais de 1000 sites com software pirata.
“Normalmente, o motivo mais importante para se espalhar malware é tentar roubar qualquer coisa, como credenciais, cookies, propriedade intelectual ou mesmo ciclos de CPU para minerar criptomoeda. Mas neste caso não. Os vírus que recolhemos não encaixam no que modo de operação típico de quem cria malware” diz Andrew Brandt, o responsável pela equipa de pesquisa da SophosLabs.
But not in this case. These samples really only did a few things, none of which fit the typical motive for malware criminals.
For one thing, they modify the HOSTS file on the PC to add entries. A lot of entries.
They had a common theme. pic.twitter.com/O1Z2fSXZ1n
— Accountability Brandt (@threatresearch) June 17, 2021
Assim que as vítimas executam o ficheiro, o nome do ficheiro e o endereço IP são enviados, sob a forma de um pedido HTTP GET para um servidor com o domínio 1flchier[.]com. O nome deste domínio pode ser facilmente confundido com o do serviço de armazenamento cloud 1fichier (no nome do domínio do servidor do atacante o I é substituído por um L para confundir). O malware é semelhante em todos os ficheiros infectados, tirando os nomes de ficheiros que são gerados nos pedidos web.
Depois disto, o Vigilante altera um ficheiro no computador da vítima que o impede de se ligar a sites conhecidos por permitirem o download de software pirata. O ficheiro alterado é o Hosts, que faz correspondência entre endereços IP e domínios. A única forma de reverter isto é editando o ficheiro Hosts para remover as entradas que foram adicionadas.
Brandt descobriu alguns ficheiros infectados em software que está disponível num serviço de chat albergado no Discord. Também descobriu outros mascarados de jogos populares, ferramentas de produtividade e software de segurança que podem ser descarregados através de BitTorrent.
Muitos dos ficheiros infectados estão assinados digitalmente através de uma ferramenta que gera assinaturas digitais falsas. Estas assinaturas contêm uma string de letras maiúsculas e minúsculas, gerada aleatoriamente. O prazo de validade do certificado começou no dia em que os ficheiros foram disponibilizados e expira em 2039.
O Vigilante não usa qualquer método para assegurar a sua persistência no sistema infectado, o que quer dizer que, depois de restaurar o ficheiro Hosts para o estado anterior antes da infecção, não volta a infectar automaticamente o computador (a menos que volte a usar um ficheiro infectado).