Vigilante-malware

Per definitie zijn malwarebedreigingen ontworpen om een aantal snode activiteiten uit te voeren. Verschillende cybercriminelen hebben verschillende doelen: het bespioneren van nietsvermoedende gebruikers, het stelen van gevoelige gegevens en het uploaden naar een externe server, het vastleggen van ingedrukte toetsen om inlog- of betalingsgegevens te verkrijgen, het kapen van de bronnen van het geïnfecteerde apparaat en deze vervolgens gebruiken om te minen voor crypto- munten, of het versleutelen van de gegevens van de gebruiker en het eisen van losgeld voor het herstel ervan. De Vigilante-malware is echter enigszins anders. In feite heeft het weinig gemeen met de hierboven beschreven malwarebedreigingen. Deze specifieke trojan is ontworpen om mensen te targeten die illegale software downloaden en vervolgens te voorkomen dat hun computers de adressen van meer dan 1000 torrent-trackers en downloadplatforms openen.

De Vigilante-malware infecteert zijn slachtoffers door zich te verbergen in softwarepakketten die worden verspreid via een Discord-chatservice of door zichzelf te vermommen als verschillende populaire games, softwaretools en beveiligingsproducten die beschikbaar zijn via BitTorrent. Om de omvang van het beschadigde archief kunstmatig te vergroten, bevat het bovendien niet-functionele bestanden van willekeurige lengte. De bewapende uitvoerbare bestanden zijn ondertekend met behulp van een nep-code-ondertekeningstool, waarbij het gegenereerde certificaat in 2039 verloopt.

Zijn eigenaardige functionaliteit

Zodra de dreiging zichzelf op het apparaat van de gebruiker sluipt, verkrijgt het de naam van het bestand dat het werd uitgevoerd en het IP-adres van het systeem en rapporteert dit aan de server van de aanvaller in de vorm van een HTTP GET-verzoek. Het adres van de server is opzettelijk gekozen om de 1fichier cloudopslagprovider na te bootsen.

Vigilante is dan klaar om over te gaan naar zijn kernfunctionaliteit. De dreiging gaat verder met het wijzigen van het HOSTS-bestand van het gecompromitteerde systeem. Het voegt de adressen toe van duizend internetsites die gewoonlijk worden geassocieerd met de levering van illegale software, zoals de populaire torrent-tracker Pirate Bay en veel van zijn proxy's. Elk domein dat in het HOSTS-bestand wordt geïnjecteerd, wordt toegewezen om het IP-adres 127.0.0.1 te openen - een gereserveerd IP-adres dat een computersysteem gebruikt om naar zichzelf te verwijzen. In de praktijk bereiken alle verzoeken aan dit adres het internet niet, maar worden ze teruggestuurd naar het systeem. Slachtoffers van Vigilante-malware zullen merken dat ze geen van de beoogde websites kunnen bereiken.

De effecten van de malware kunnen eenvoudig ongedaan worden gemaakt. De Vigilante-malware heeft immers niet de mogelijkheid om een persistentiemechanisme op de geïnfecteerde systemen op te zetten. Slachtoffers kunnen eenvoudig hun HOSTS-bestand opschonen en alles zal weer normaal zijn.