Vigilant

Un développeur d’autodéfense renverse la situation contre les pirates de logiciels en distribuant des logiciels malveillants qui les empêchent d’accéder à des sites de logiciels piratés à l’avenir.

Les auteurs de menaces utilisent couramment des logiciels piratés et de faux sites de crack pour distribuer des logiciels malveillants à des utilisateurs peu méfiants qui pensent télécharger le dernier jeu ou film.

Les logiciels malveillants distribués via ces méthodes sont généralement des chevaux de Troie voleurs d’informations, des ransomwares ou des cryptomineurs qui peuvent être utilisés pour générer de la valeur pour l’acteur de la menace.

Un malware bloque l’accès à The Pirate Bay

Dans un nouveau rapport, les SophosLabs expliquent comment un malware d’autodéfense est distribué qui empêche les pirates d’accéder au site de torrent de contenu protégé le plus populaire, The Pirate Bay.

“Dans l’un des cas les plus étranges que j’ai vu depuis un moment, l’un de mes collègues du laboratoire m’a récemment parlé d’une campagne de logiciels malveillants dont l’objectif principal semble s’éloigner des motifs de logiciels malveillants les plus courants.” explique Andrew Brandt, chercheur principal des SophosLabs dans le nouveau rapport.

“Au lieu de chercher à voler des mots de passe ou à extorquer une rançon au propriétaire d’un ordinateur, ce malware empêche les ordinateurs des utilisateurs infectés de visiter un grand nombre de sites Web dédiés au piratage de logiciels en modifiant le fichier HOSTS sur le système infecté.”

Selon Brandt, le nouveau malware est distribué via Discord ou des sites torrent de logiciels piratés. Sur Discord, le malware est distribué sous forme d’exécutables autonomes se faisant passer pour des logiciels piratés, comme indiqué ci-dessous.

Malware hébergé sur Discord
Malware hébergé sur Discord

Sur des sites comme The Pirate Bay, le malware est distribué de la même manière que d’autres fichiers torrent dans le sens où ils contiennent des fichiers readme, des fichiers NFO et des fichiers de raccourci vers thepiratebay.org.

Un faux fichier Lisez-moi dans un torrent malveillant
Un faux fichier Lisez-moi dans un torrent malveillant

Cependant, de nombreux fichiers contenus dans ces archives torrent ne servent à rien et ne sont ajoutés qu’en tant que charge pour usurper l’identité de votre torrent de logiciel/film piraté typique.

« En regardant de plus près ces fichiers fournis avec le programme d’installation, il est clair qu’ils n’ont aucun avantage pratique autre que de donner à l’archive l’apparence de fichiers généralement partagés sur Bittorrent et de modifier les valeurs de hachage avec l’ajout de données aléatoires », explique Brandt dans son rapport.

Une fois qu’un utilisateur exécute l’exécutable du malware, il modifie le fichier Windows HOSTS pour ajouter de nombreuses entrées qui pointent vers 127.0.0.1 pour les sites associés à The Pirate Bay.

Fichier HOSTS modifié par le malware
Fichier HOSTS modifié par le malware

Après avoir ajouté ces entrées HOSTS, lorsqu’un utilisateur tente d’accéder à l’un des sites répertoriés, il sera plutôt redirigé vers son hôte local et ne pourra pas se connecter à l’adresse IP réelle du site. Cela bloque efficacement l’accès aux sites répertoriés qui distribuent des torrents pour du contenu protégé par le droit d’auteur.

Pour aggraver les choses, lorsque le malware vigilant est exécuté, il se connecte à un hôte distant sous le contrôle de l’attaquant et envoie le nom du faux logiciel piraté qui a infecté l’utilisateur.

Comme les serveurs Web enregistrent généralement l’adresse IP d’un visiteur, l’attaquant dispose désormais à la fois de l’adresse IP du pirate et du nom du logiciel ou du film qu’il a tenté d’utiliser.

Bien qu’on ne sache pas à quoi servent ces informations, les acteurs de la menace pourraient les partager avec les FAI, les agences de droit d’auteur ou même les forces de l’ordre.

Les attaquants pourraient également utiliser ces informations dans d’autres attaques, telles que des campagnes d’extorsion par courrier électronique où l’attaquant menace de révéler l’activité illégale de l’utilisateur s’il ne paie pas une petite demande d’extorsion.

Brandt a déclaré à BleepingComputer que cette campagne de logiciels malveillants était en ligne entre octobre 2020 et janvier 2021, lorsque le site de l’attaquant s’est déconnecté.

Selon Brandt, les torrents malveillants ont également cessé d’être distribués, probablement après que les utilisateurs ont cessé de les semer après avoir appris que les fichiers étaient malveillants ou faux.

Bien que rares, les justiciers se sont fait justice dans le passé en piratant Netgear pour supprimer les logiciels malveillants, en distribuant des logiciels malveillants pour sécuriser les appareils IoT, en publiant une version militarisée

Leave a Reply