Vigilante Malware

Z definicji zagrożenia złośliwym oprogramowaniem są zaprojektowane do wykonywania pewnych nikczemnych działań. Różni cyberprzestępcy mają różne cele – szpiegowanie niczego niepodejrzewających użytkowników, kradzież poufnych danych, a następnie przesyłanie ich na zdalny serwer, przechwytywanie naciśniętych klawiszy w celu uzyskania danych logowania lub płatności, przejmowanie zasobów zainfekowanego urządzenia, a następnie wykorzystywanie ich do wydobywania kryptowalut. monety lub szyfrowanie danych użytkownika i żądanie okupu za ich odzyskanie. Jednak złośliwe oprogramowanie Vigilante jest nieco inne. W rzeczywistości ma niewiele wspólnego z opisanymi powyżej zagrożeniami złośliwym oprogramowaniem. Ten konkretny trojan jest przeznaczony do atakowania osób pobierających pirackie oprogramowanie, a następnie blokowania ich komputerów przed otwieraniem adresów ponad 1000 trackerów torrentów i platform pobierania.

Malware Vigilante infekuje swoje ofiary, ukrywając się w pakietach oprogramowania dystrybuowanych za pośrednictwem usługi czatu Discord lub podszywając się pod kilka popularnych gier, narzędzi programowych i produktów zabezpieczających dostępnych za pośrednictwem BitTorrenta. Ponadto, aby sztucznie zwiększyć rozmiar uszkodzonego archiwum, zawiera niedziałające pliki o losowej długości. Uzbrojone pliki wykonywalne są podpisywane za pomocą fałszywego narzędzia do podpisywania kodu, a wygenerowany certyfikat wygasa w 2039 roku.

Jego osobliwa funkcjonalność

Gdy zagrożenie zakradnie się na urządzenie użytkownika, uzyskuje nazwę pliku, w którym zostało wykonane, oraz adres IP systemu i zgłasza je serwerowi atakującego w postaci żądania HTTP GET. Adres serwera został wybrany, aby celowo naśladować dostawcę pamięci masowej w chmurze 1fichier.

Vigilante jest wtedy gotowy do przejścia do swojej podstawowej funkcjonalności. Zagrożenie modyfikuje plik HOSTS zaatakowanego systemu. Dodaje adresy tysiąca stron internetowych powszechnie kojarzonych z dostarczaniem pirackiego oprogramowania, takiego jak popularny tracker torrentów The Pirate Bay i wiele jego serwerów proxy. Każda domena wstrzyknięta do pliku HOSTS zostanie przypisana do otwarcia adresu IP 127.0.0.1 - zastrzeżonego adresu IP, którego system komputerowy używa do odwoływania się do siebie. W praktyce wszelkie żądania kierowane na ten adres nie docierają do Internetu, lecz są przekierowywane z powrotem do systemu. Ofiary złośliwego oprogramowania Vigilante nie będą mogły dostać się na żadną z zaatakowanych witryn.

Skutki działania złośliwego oprogramowania można łatwo odwrócić. W końcu złośliwe oprogramowanie Vigilante nie ma możliwości ustanowienia mechanizmu trwałości w zainfekowanych systemach. Ofiary mogą po prostu wyczyścić plik HOSTS i wszystko wróci do normy.