Vigilante Malware

Per definizione, le minacce malware sono progettate per svolgere alcune attività nefaste. Diversi criminali informatici hanno obiettivi diversi: spiare gli utenti ignari, rubare dati sensibili e quindi caricarli su un server remoto, acquisire i tasti premuti per ottenere credenziali di accesso o di pagamento, dirottare le risorse del dispositivo infetto e quindi utilizzarli per estrarre criptovalute. monete, o crittografando i dati dell'utente e chiedendo un riscatto per il suo ripristino. Tuttavia, il malware Vigilante è in qualche modo diverso. In effetti, ha poco in comune con le minacce malware descritte sopra. Questo particolare Trojan è progettato per colpire le persone che scaricano software piratato e quindi impedire ai loro computer di aprire gli indirizzi di oltre 1000 tracker torrent e piattaforme di download.

Il malware Vigilante infetta le sue vittime nascondendosi all'interno di pacchetti software distribuiti tramite un servizio di chat Discord o mascherandosi da diversi giochi, strumenti software e prodotti di sicurezza popolari disponibili tramite BitTorrent. Inoltre, per aumentare artificialmente la dimensione dell'archivio corrotto, include file non funzionali di lunghezza casuale. Gli eseguibili armati sono firmati utilizzando un falso strumento di firma del codice con il certificato generato in scadenza nel 2039.

La sua peculiare funzionalità

Una volta che la minaccia si insinua nel dispositivo dell'utente, ottiene il nome del file in cui è stata eseguita e l'indirizzo IP del sistema e li segnala al server dell'attaccante sotto forma di richiesta HTTP GET. L'indirizzo del server è stato scelto per imitare intenzionalmente il provider di cloud storage 1fichier.

Vigilante è quindi pronto per passare alla sua funzionalità principale. La minaccia continua a modificare il file HOSTS del sistema compromesso. Aggiunge gli indirizzi di un migliaio di siti Internet comunemente associati alla distribuzione di software piratato, come il popolare tracker di torrent Pirate Bay e molti dei suoi proxy. Ad ogni dominio iniettato nel file HOSTS verrà assegnato l'indirizzo IP 127.0.0.1 - un indirizzo IP riservato che un sistema informatico usa per riferirsi a se stesso. In pratica, eventuali richieste fatte a questo indirizzo non raggiungono Internet ma vengono invece reinstradate al sistema. Le vittime del malware Vigilante non potranno raggiungere nessuno dei siti Web presi di mira.

Gli effetti del malware possono essere annullati facilmente. Dopotutto, il malware Vigilante non ha la capacità di stabilire un meccanismo di persistenza sui sistemi infetti. Le vittime possono semplicemente ripulire il loro file HOSTS e tutto tornerà alla normalità.