Twitter Delicious Facebook Digg Stumbleupon Favorites More

19 junio 2021

El malware evita que sus víctimas vayan a sitios de descarga ilegales

© Pirate Bay

En un informe, SophosLab dijo que se enteró de malware destinado a evitar que sus víctimas descarguen ilegalmente.

Activo entre octubre de 2020 y enero de 2021, este malware se contentó con modificar el archivo HOSTS de sus víctimas para evitar que vayan a The Pirate Bay y sus espejos.

Lea también:

Un malware... Texto original en
El autor del informe, Andrew Brandt, lo describió como "uno de los casos más extraños que he visto en mucho tiempo". Sería difícil demostrar que está equivocado, ya que estamos acostumbrados a malware cuya función principal es robar datos personales y otras credenciales de inicio de sesión. Pero este es un caso especial ya que busca evitar que sus víctimas descarguen ilegalmente.

Este malware se distribuye de dos maneras. La primera parte del software de mensajería Discord , donde se envía en forma de un simple ejecutable que se supone que es una versión agrietada de un juego o software. El segundo pasa por los sitios de piratería clásicos, donde viene en forma de una carpeta que contiene el ejecutable, así como otras carpetas y archivos con el fin de darle la apariencia de un torrente clásico.

Lee también:

Un método ineficiente
Una vez que se inicia el ejecutable, muestra un mensaje de error falso que indica que el software no se pudo instalar debido a la falta de un archivo de .dll. Posteriormente, se pone en contacto con un sitio web perteneciente al atacante y le envía el nombre del archivo que la víctima está tratando de descargar, así como su dirección IP. También recupera un segundo malware, que se encarga de modificar el archivo HOSTS. Estos cambios sirven para evitar que la víctima acceda principalmente a The Pirate Bay,redirigindo automáticamente a su host local tan pronto como intente acceder a él.

El método no es muy efectivo ya que solo tienes que eliminar estas líneas de tu archivo HOSTS para poder acceder a los sitios de nuevo. El mayor riesgo es que la información recuperada por el atacante pueda ser enviada a agencias gubernamentales o proveedores de servicios de Internet, o utilizada en futuras campañas de extorsión, como chantaje.

Según Andrew Brandt, esta campaña de malware estuvo activa entre octubre de 2020 y enero de 2021, cuando el sitio del atacante se desconectó.

Fuentes: BleepingComputer, SophosLab

0 comentarios:

Related Posts Plugin for WordPress, Blogger...
 
Design by Lasantha.