Descoberto novo malware chamado Vigilante, que só ataca computadores usados em downloads de software pirateado

Enquanto a maioria do malware serve para roubar informação ou atrapalhar a vida dos utilizadores comuns, o Vigilante apenas ataca quem descarrega software pirata.

A equipa de pesquisa da SophosLabs acaba de anunciar a descoberta de um dos malwares mais fora do comum de sempre: ficheiros infectados que denunciam as pessoas que descarregam software ilegalmente, o mesmo malware também bloqueia o acesso a sites de downloads piratas. Estes ficheiros já estão presentes em vários sites de software pirata.

A SophosLabs chamou a este novo malware ‘Vigilante’, que é instalado quando se tenta usar um ficheiro descarregado ilegalmente e que o utilizador pensa ser software pirata. Assim que é activado, o malware envia o nome do ficheiro que foi executado para um servidor controlado pelo atacante em conjunto com o endereço IP do computador que foi infectado. Para completar, o Vigilante tenta modificar o software no computador atacado para que deixe de ser possível aceder a mais de 1000 sites com software pirata.

“Normalmente, o motivo mais importante para se espalhar malware é tentar roubar qualquer coisa, como credenciais, cookies, propriedade intelectual ou mesmo ciclos de CPU para minerar criptomoeda. Mas neste caso não. Os vírus que recolhemos não encaixam no que modo de operação típico de quem cria malware” diz Andrew Brandt, o responsável pela equipa de pesquisa da SophosLabs.

 

Assim que as vítimas executam o ficheiro, o nome do ficheiro e o endereço IP são enviados, sob a forma de um pedido HTTP GET para um servidor com o domínio 1flchier[.]com. O nome deste domínio pode ser facilmente confundido com o do serviço de armazenamento cloud 1fichier (no nome do domínio do servidor do atacante o I é substituído por um L para confundir). O malware é semelhante em todos os ficheiros infectados, tirando os nomes de ficheiros que são gerados nos pedidos web.

Depois disto, o Vigilante altera um ficheiro no computador da vítima que o impede de se ligar a sites conhecidos por permitirem o download de software pirata. O ficheiro alterado é o Hosts, que faz correspondência entre endereços IP e domínios. A única forma de reverter isto é editando o ficheiro Hosts para remover as entradas que foram adicionadas.

Brandt descobriu alguns ficheiros infectados em software que está disponível num serviço de chat albergado no Discord. Também descobriu outros mascarados de jogos populares, ferramentas de produtividade e software de segurança que podem ser descarregados através de BitTorrent.

Muitos dos ficheiros infectados estão assinados digitalmente através de uma ferramenta que gera assinaturas digitais falsas. Estas assinaturas contêm uma string de letras maiúsculas e minúsculas, gerada aleatoriamente. O prazo de validade do certificado começou no dia em que os ficheiros foram disponibilizados e expira em 2039.

O Vigilante não usa qualquer método para assegurar a sua persistência no sistema infectado, o que quer dizer que, depois de restaurar o ficheiro Hosts para o estado anterior antes da infecção, não volta a infectar automaticamente o computador (a menos que volte a usar um ficheiro infectado).

Exit mobile version