Vigilante Malware

Per definition är hot mot skadlig programvara utformade för att utföra en illaluktande aktivitet. Olika cyberbrottslingar har olika mål - spionera på de intet ont anande användarna, stjäla känslig data och sedan ladda upp den till en fjärrserver, fånga tryckta knappar för att få inloggnings- eller betalningsuppgifter, kapa resurser för den infekterade enheten och sedan använda dem för att bryta för krypto- mynt, eller kryptera användarens data och kräva en lösen för dess återställning. Vigilante-skadlig programvara är dock något annorlunda. Faktum är att det har lite gemensamt med hoten mot skadlig programvara som beskrivs ovan. Denna specifika Trojan är utformad för att rikta in sig på personer som laddar ner piratkopierad programvara och sedan blockerar sina datorer från att öppna adresserna på över 1000 torrentspårare och nedladdningsplattformar.

Skadlig programvara från Vigilante infekterar sina offer genom att gömma sig i mjukvarupaket som distribueras via en Discord-chattjänst eller genom att förkläda sig som flera populära spel, programvaruverktyg och säkerhetsprodukter som är tillgängliga via BitTorrent. Dessutom, för att öka storleken på det skadade arkivet artificiellt, innehåller det icke-funktionella filer av slumpmässig längd. De vapenförsedda körningarna signeras med ett falskt kodsigneringsverktyg med det genererade certifikatet som löper ut 2039.

Dess speciella funktionalitet

När hotet smyger sig själv på användarens enhet får det namnet på filen som det kördes och systemets IP-adress och rapporterar dem till angriparens server i form av en HTTP GET-begäran. Adressen till servern valdes för att efterlikna leverantören av 1fichier molnlagring avsiktligt.

Vigilante är sedan redo att gå vidare till sin kärnfunktionalitet. Hotet fortsätter att modifiera det komprometterade systemets HOSTS-fil. Det lägger till adresserna på tusen webbplatser som ofta är associerade med leverans av piratkopierad programvara, till exempel den populära torrentspåraren Pirate Bay och många av dess ombud. Varje domän som injiceras i HOSTS-filen kommer att tilldelas för att öppna IP-adressen 127.0.0.1 - en reserverad IP-adress som ett datorsystem använder för att hänvisa till sig själv. I praktiken når alla förfrågningar till den här adressen inte Internet utan omdirigeras tillbaka till systemet. Offren för skadlig programvara från Vigilante kan inte nå någon av de riktade webbplatserna.

Effekterna av skadlig kod kan enkelt vändas. När allt kommer omkring har Vigilante-skadlig programvara inte förmågan att skapa en uthållighetsmekanism på de infekterade systemen. Offren kan helt enkelt städa upp sin HOSTS-fil och allt kommer att återgå till det normala.