자경단 맬웨어

정의에 따라 맬웨어 위협은 일부 사악한 활동을 수행하도록 설계되었습니다. 사이버 범죄자들은 서로 다른 목표를 가지고 있습니다. 의심하지 않는 사용자를 감시하고, 민감한 데이터를 훔친 다음 원격 서버에 업로드하고, 눌려진 키를 캡처하여 로그인 또는 지불 자격 증명을 얻고, 감염된 장치의 리소스를 탈취 한 다음이를 사용하여 암호화를 위해 사용합니다. 코인 또는 사용자 데이터를 암호화하고 복원을 위해 몸값을 요구합니다. 그러나 Vigilante 악성 코드는 다소 다릅니다. 실제로 위에서 설명한 맬웨어 위협과 공통점이 거의 없습니다. 이 특정 트로이 목마는 불법 복제 된 소프트웨어를 다운로드하는 사람들을 대상으로 한 다음 컴퓨터가 1000 개가 넘는 토렌트 추적기 및 다운로드 플랫폼의 주소를 열지 못하도록 차단하도록 설계되었습니다.

Vigilante 악성 코드는 Discord 채팅 서비스를 통해 배포 된 소프트웨어 패키지 내부에 숨어 있거나 BitTorrent를 통해 제공되는 여러 인기 게임, 소프트웨어 도구 및 보안 제품으로 위장하여 피해자를 감염시킵니다. 또한 손상된 아카이브의 크기를 인위적으로 늘리기 위해 임의 길이의 작동하지 않는 파일을 포함합니다. 무기화 된 실행 파일은 생성 된 인증서가 2039 년에 만료되는 가짜 코드 서명 도구를 사용하여 서명됩니다.

그 독특한 기능

위협이 사용자의 장치에 몰래 들어가면 실행 된 파일의 이름과 시스템의 IP 주소를 가져 와서 HTTP GET 요청의 형태로 공격자의 서버에보고합니다. 서버 주소는 1fichier 클라우드 스토리지 제공 업체를 의도적으로 모방하기 위해 선택되었습니다.

그러면 Vigilante는 핵심 기능으로 이동할 준비가됩니다. 위협은 손상된 시스템의 HOSTS 파일을 수정합니다. 인기있는 토렌트 추적기 인 Pirate Bay 및 많은 프록시와 같이 일반적으로 불법 복제 된 소프트웨어의 제공과 관련된 수천 개의 인터넷 사이트 주소를 추가합니다. HOSTS 파일에 삽입 된 각 도메인은 컴퓨터 시스템이 자신을 참조하는 데 사용하는 예약 된 IP 주소 인 IP 주소 127.0.0.1을 열도록 할당됩니다. 실제로이 주소에 대한 요청은 인터넷에 도달하지 않고 대신 시스템으로 다시 라우팅됩니다. Vigilante 악성 코드의 피해자는 표적 웹 사이트에 접근 할 수 없다는 것을 알게됩니다.

악성 코드의 영향은 쉽게 되돌릴 수 있습니다. 결국, Vigilante 악성 코드는 감염된 시스템에 지속성 메커니즘을 설정할 수있는 능력이 없습니다. 피해자는 간단히 HOSTS 파일을 정리할 수 있으며 모든 것이 정상으로 돌아갑니다.