Vigilante Malware

Tanım olarak, kötü amaçlı yazılım tehditleri, bazı kötü niyetli faaliyetler gerçekleştirmek için tasarlanmıştır. Farklı siber suçluların farklı hedefleri vardır - şüphelenmeyen kullanıcıları gözetlemek, hassas verileri çalmak ve ardından bunları uzak bir sunucuya yüklemek, oturum açma veya ödeme kimlik bilgilerini almak için basılı anahtarları yakalamak, virüslü cihazın kaynaklarını ele geçirmek ve ardından bunları kripto madenciliği için kullanmak. madeni paralar veya kullanıcının verilerini şifrelemek ve geri yüklenmesi için fidye talep etmek. Ancak, Vigilante kötü amaçlı yazılımı biraz farklıdır. Aslında, yukarıda açıklanan kötü amaçlı yazılım tehditleriyle çok az ortak noktası vardır. Bu özel Truva Atı, korsan yazılım indiren kişileri hedef almak ve ardından bilgisayarlarının 1000'den fazla torrent izleyici ve indirme platformunun adreslerini açmasını engellemek için tasarlanmıştır.

Vigilante kötü amaçlı yazılımı, bir Discord sohbet hizmeti aracılığıyla dağıtılan yazılım paketlerinin içine saklanarak veya kendisini BitTorrent aracılığıyla sunulan birkaç popüler oyun, yazılım aracı ve güvenlik ürünü olarak gizleyerek kurbanlarına bulaşır. Ayrıca, bozuk arşivin boyutunu yapay olarak artırmak için, rastgele uzunlukta işlevsel olmayan dosyalar içerir. Silahlaştırılmış yürütülebilir dosyalar, oluşturulan sertifikanın süresi 2039'da dolacak şekilde sahte bir kod imzalama aracı kullanılarak imzalanıyor.

Kendine Özgü İşlevselliği

Tehdit, kullanıcının cihazına gizlice girdiğinde, yürütüldüğü dosyanın adını ve sistemin IP adresini alır ve bunları bir HTTP GET isteği şeklinde saldırganın sunucusuna bildirir. Sunucunun adresi, kasıtlı olarak 1fichier bulut depolama sağlayıcısını taklit edecek şekilde seçilmiştir.

Vigilante daha sonra temel işlevine geçmeye hazırdır. Tehdit, güvenliği ihlal edilmiş sistemin HOSTS dosyasını değiştirmeye devam eder. Popüler torrent takipçisi Pirate Bay ve pek çok proxy'si gibi korsan yazılımların dağıtımıyla yaygın olarak ilişkilendirilen bin İnternet sitesinin adreslerini ekler. HOSTS dosyasına eklenen her etki alanı, bir bilgisayar sisteminin kendisine başvurmak için kullandığı ayrılmış bir IP adresi olan 127.0.0.1 IP adresini açmak için atanacaktır. Uygulamada, bu adrese yapılan istekler İnternet'e ulaşmaz, bunun yerine sisteme geri yönlendirilir. Vigilante kötü amaçlı yazılımının kurbanları, kendilerini hedeflenen web sitelerinin hiçbirine ulaşamayacaklarını göreceklerdir.

Kötü amaçlı yazılımın etkileri kolayca tersine çevrilebilir. Sonuçta, Vigilante kötü amaçlı yazılımı, virüslü sistemlerde kalıcı bir mekanizma oluşturma yeteneğine sahip değildir. Kurbanlar HOSTS dosyalarını kolayca temizleyebilir ve her şey normale dönecektir.