Vigilante Malware

Per definition er malware-trusler designet til at udføre en eller anden skadelig aktivitet. Forskellige cyberkriminelle har forskellige mål - at spionere på de intetanende brugere, stjæle følsomme data og derefter uploade dem til en ekstern server, fange trykte taster for at få login- eller betalingsoplysninger, kapre ressourcerne på den inficerede enhed og derefter bruge dem til at mine til krypto- mønter eller kryptering af brugerens data og krævende en løsesum for gendannelsen. Imidlertid er Vigilante-malware noget anderledes. Faktisk har det kun lidt til fælles med de malware-trusler, der er beskrevet ovenfor. Denne særlige Trojan er designet til at målrette mod folk, der downloader piratkopieret software og derefter blokere deres computere fra at åbne adresserne på over 1000 torrent trackers og downloadplatforme.

Vigilante-malware inficerer sine ofre ved at gemme sig i softwarepakker distribueret via en Discord-chattjeneste eller ved at forklæde sig som flere populære spil, softwareværktøjer og sikkerhedsprodukter, der er tilgængelige via BitTorrent. For at øge størrelsen på det beskadigede arkiv kunstigt inkluderer det ikke-funktionelle filer med tilfældig længde. De våbnede eksekverbare enheder er underskrevet ved hjælp af et falsk kodesigneringsværktøj, hvor det genererede certifikat udløber i 2039.

Dens ejendommelige funktionalitet

Når truslen sniger sig ind på brugerens enhed, får den navnet på den fil, den blev udført, og systemets IP-adresse og rapporterer dem til angriberens server i form af en HTTP GET-anmodning. Serverens adresse blev valgt til at efterligne 1fichier cloud storage-udbyderen med vilje.

Vigilante er derefter klar til at gå videre til sin kernefunktionalitet. Truslen fortsætter med at ændre det kompromitterede systems HOSTS-fil. Det tilføjer adresserne på tusind internetsteder, der ofte er forbundet med levering af piratkopieret software, såsom den populære torrent tracker Pirate Bay og mange af dens proxyer. Hvert domæne, der injiceres i HOSTS-filen, tildeles til at åbne IP-adressen 127.0.0.1 - en reserveret IP-adresse, som et computersystem bruger til at henvise til sig selv. I praksis når enhver anmodning til denne adresse ikke Internettet, men omdirigeres i stedet tilbage til systemet. Ofre for Vigilante-malware finder ud af, at de ikke kan nå nogen af de målrettede websteder.

Virkningerne af malware kan nemt vendes. Når alt kommer til alt har Vigilante-malware ikke evnen til at etablere en persistensmekanisme på de inficerede systemer. Ofre kan simpelthen rydde op i deres HOSTS-fil, og alt vil være tilbage til det normale.