El malware Vigilante recién descubierto supera a los piratas de software y los bloquea


Una señal de advertencia en una valla de metal estilo rejilla.

Un investigador ha descubierto uno de los hallazgos más inusuales en los anales del malware: archivos con trampas explosivas que delatan a los descargadores e intentan evitar descargas no autorizadas en el futuro. Los archivos están disponibles en sitios frecuentados por piratas de software.

Vigilante, como es el investigador principal de SophosLabs, Andrew Brandt llamando al malware, se instala cuando las víctimas descargan y ejecutan lo que creen que es software o juegos pirateados. Detrás de escena, el malware informa el nombre del archivo que se ejecutó a un servidor controlado por el atacante, junto con la dirección IP de las computadoras de las víctimas. Como toque final, Vigilante intenta modificar las computadoras de las víctimas para que ya no puedan acceder a thepiratebay.com ni a otros 1,000 sitios piratas.

No es tu malware típico

“Es realmente inusual ver algo como esto porque normalmente hay un solo motivo detrás de la mayoría de malware: robar cosas”, Brandt escribió en Twitter. “Ya sean contraseñas, pulsaciones de teclas, cookies, propiedad intelectual, acceso o incluso ciclos de CPU para extraer criptomonedas, el motivo es el robo. Pero no en este caso. Estas muestras realmente solo hicieron algunas cosas, ninguna de las cuales se ajusta al motivo típico de los delincuentes de malware “.

Una vez que las víctimas han ejecutado el archivo troyanizado, el nombre del archivo y la dirección IP se envían en forma de una solicitud HTTP GET al 1flchier controlado por el atacante.[.]com, que se puede confundir fácilmente con el proveedor de almacenamiento en la nube 1fichier (el primero se escribe con una L como tercer carácter en el nombre en lugar de una I). El malware en los archivos es en gran parte idéntico, excepto por los nombres de archivo que genera en las solicitudes web.

Vigilante actualiza un archivo en la computadora infectada que evita que se conecte a The Pirate Bay y otros destinos de Internet que se sabe que son utilizados por personas que comercian con software pirateado. Específicamente, las actualizaciones de malware Hospedadores, un archivo que empareja una o más direcciones de dominio con distintas direcciones IP. Como muestra la imagen a continuación, el malware empareja thepiratebay.com con 127.0.0.1, una dirección IP de propósito especial, a menudo llamada localhost o dirección de bucle invertido, que las computadoras usan para identificar su dirección IP real en otros sistemas.

Sophos

Al asignar los dominios al host local, el malware garantiza que la computadora ya no pueda acceder a los sitios. La única forma de revertir el bloqueo es editar el archivo Hosts para eliminar las entradas.

Brandt encontró algunos de los troyanos al acecho en paquetes de software disponibles en un servicio de chat alojado en Discord. Encontró otros disfrazados de juegos populares, herramientas de productividad y productos de seguridad disponibles a través de BitTorrent.

Hay otras rarezas. Muchos de los ejecutables troyanizados están firmados digitalmente utilizando una herramienta de firma de código falso. Las firmas contienen una cadena de letras mayúsculas y minúsculas de 18 caracteres generadas aleatoriamente. La validez del certificado comenzó el día en que los archivos estuvieron disponibles y está programado para expirar en 2039. Además, las hojas de propiedades de los ejecutables no se alinean con el nombre del archivo.

Cuando se ve a través de un editor hexadecimal, los ejecutables también contienen un epíteto racial que se repite más de 1.000 veces seguido de un bloque grande de caracteres alfabéticos de tamaño aleatorio.

“Completar el archivo con archivos sin propósito de longitud aleatoria se puede hacer simplemente para modificar el valor hash del archivo”, escribió Brandt. “Completarlo con insultos racistas me dijo todo lo que necesitaba saber sobre su creador”.

Vigilante no tiene un método de persistencia, lo que significa que no tiene forma de permanecer instalado. Eso significa que las personas que han sido infectadas solo necesitan editar su archivo Hosts para ser desinfectadas. SophosLabs proporciona indicadores de compromiso aquí.



Latest articles

Los Verdes alemanes deben sentarse a votar en un estado durante las elecciones nacionales – POLITICO

El Partido Verde de Alemania será excluido de las urnas en el estado de Saarland durante las elecciones nacionales de septiembre, el comité...

Florida lidera la nación en nuevas admisiones hospitalarias para adultos y niños Covid-19

El gobierno del Reino Unido actualizará su lista de viajes "verde" el jueves para agregar a la lista a Alemania, Austria, Eslovenia, Eslovaquia,...

R. Kelly dice que se ha adelantado a la selección del jurado

Sus abogados dicen que no puede pagar las transcripciones diarias de la corte.

Sam Waterston, Kurtwood Smith y Anne Archer en la serie limitada de Hulu – Fecha límite

EXCLUSIVO: Sam Waterston (Ley y Orden), Kurtwood Smith (Patriota) y Anne Archer (Imperio de papel) están configurados para roles clave recurrentes junto a...
49.6k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »