Cet étrange malware vous empêche de visiter des sites pirates

Une souche de logiciels malveillants aux intentions étranges en ce qui concerne le piratage et le sens moral de ses victimes a été détecté. Jeudi, les chercheurs de Sophos ont déclaré avoir découvert une campagne de logiciels malveillants qui ne suit pas les schémas comportementaux habituels : infiltration d’un système, vol d’informations, fraude bancaire, etc. Au lieu de cela, le logiciel malveillant “empêche les utilisateurs infectés de visiter un grand nombre de sites Web consacrés au piratage de logiciels”.

Les moyens de distribution varient : certains échantillons ont été enfouis dans des archives déguisées en logiciels promus par le service de chat Discord, tandis que d’autres sont distribués directement via le protocole torrent.

Le créateur a utilisé les noms de nombreuses marques de logiciels, de jeux, d’outils de productivité et de solutions de cybersécurité pour cacher le malware, selon le chercheur principal Andrew Brandt, et semble donc cibler tout le monde, des joueurs aux professionnels qui pourraient ne pas vouloir acheter une licence logicielle.

Minecraft 1.5.2 Cracked [Full Installer] [Online] [Server List]

Les paquets malveillants sont nommés dans des formats courants utilisés pour la distribution de logiciels piratés, tels que “Minecraft 1.5.2 Cracked [Full Installer] [Online] [Server List]”. Les fichiers sont marqués pour apparaître comme des téléchargements de The Pirate Bay.

“Les fichiers qui semblent être hébergés sur le partage de fichiers de Discord ont tendance à être des fichiers exécutables solitaires”, explique Brandt. “Ceux distribués via Bittorrent ont été conditionnés d’une manière qui ressemble davantage à la façon dont les logiciels piratés sont généralement partagés à l’aide de ce protocole : ajoutés à un fichier compressé qui contient également un fichier texte et d’autres fichiers auxiliaires, ainsi qu’un bon vieux fichier de raccourci Internet.”

Si l’on double-clique sur l’exécutable du malware, un message pop-up apparaît, affirmant qu’il manque au système de la victime un fichier .DLL. En arrière-plan, le malware récupère une charge utile secondaire, appelée ProcessHacker, sur un site Web externe. Cette charge utile est responsable de la modification du fichier HOSTS sur la machine cible.

Le malware n’a pas de mécanisme de persistance

Le processus de blocage des sites de piratage du malware est rudimentaire, puisqu’il ajoute simplement une liste de quelques centaines à plus de 1 000 domaines Web et les fait pointer vers une adresse hôte locale. Curieusement, certains sites Web figurant sur la liste de blocage n’ont rien à voir avec le piratage.

Cependant, sur les machines modernes, des privilèges peuvent être nécessaires pour modifier le fichier HOSTS et tous les échantillons n’ont pas déclenché l’escalade des privilèges du malware sur les systèmes Windows. Lorsque cette escalade ne s’est pas produite, la modification du fichier HOSTS a échoué.

“La modification du fichier HOSTS est une méthode rudimentaire mais efficace pour empêcher un ordinateur d’atteindre une adresse Web”, explique Sophos. “Elle est rudimentaire car, bien qu’elle fonctionne, le malware n’a pas de mécanisme de persistance. N’importe qui peut supprimer les entrées après qu’elles aient été ajoutées au fichier HOSTS.”

Opération d’autodéfense anti-piratage grossièrement compilée

Dans certains des paquets de logiciels malveillants, l’opérateur a ajouté des fichiers groupés avec l’installateur, probablement pour améliorer son apparence de légitimité en tant que logiciel pirate. La plupart de ces fichiers sont des codes et des images inutiles, bien qu’un fichier .nfo contienne des insultes racistes.

“À première vue, les cibles et les outils suggèrent qu’il pourrait s’agir d’une sorte d’opération d’autodéfense anti-piratage grossièrement compilée”, a commenté M. Brandt. “Cependant, le vaste public cible potentiel de l’attaquant – des joueurs aux professionnels – combiné au curieux mélange d’outils anciens et nouveaux, aux TTP et à la liste bizarre de sites Web bloqués par le malware, tout cela rend l’objectif ultime de cette opération un peu obscur.”

Bien que le malware soit rudimentaire et n’ait pas d’impact majeur sur les utilisateurs — à moins qu’ils ne soient fans de logiciels piratés ou de contenu pirate — si le fichier HOSTS a été modifié, Sophos indique qu’il peut être nettoyé en exécutant Notepad en tant qu’administrateur, en ouvrant c:\Windows\\System32\Drivers \\etc\\hosts, et en supprimant les références.

Source : “ZDNet.com”