Vigilante è il malware innocuo ma bacchettone: blocca l'accesso ai siti web con materiale pirata

Individuato un malware davvero insolito: non fa nulla di pericoloso o nocivo, ma blocca l'accesso ai siti web come The Pirate Bay modificando il file hosts del sistema
di Andrea Bai pubblicata il 18 Giugno 2021, alle 12:41 nel canale AppleI ricercatori di SophosLabs raccontano di un'insolita scoperta: un malware che invece di rubare informazioni o compromettere il sistema in maniera più o meno irrecuperabile, si occupa invece di negare l'accesso a siti che ospitano materiale piratato. Il malware è stato battezzato Vigilante e opera modificando il file hosts del sistema della vittima, senza particolari sofisticazioni e nemmeno misure di persistenza.
Questo malware viene distribuito sotto le mentite spogle di una varietà di pacchetti software pirata, che vengono promossi all'interno di canali dedicati su Discord. Altre versioni sono state distribuite tramite Bittorrent, mascherandosi da videogiochi, strumenti di produttività e suite di sicurezza.
But not in this case. These samples really only did a few things, none of which fit the typical motive for malware criminals.
— Accountability Brandt (@threatresearch) June 17, 2021
For one thing, they modify the HOSTS file on the PC to add entries. A lot of entries.
They had a common theme. pic.twitter.com/O1Z2fSXZ1n
Il funzionamento di Vigilante, come dettaglia SophosLabs, è davvero molto semplice: quando il file viene scaricato e avviato, il sistema visualizza un falso messaggio di errore: "Il programma non può essere avviato perché MSVCR100.dll non è presente nel computer. Prova a reinstallare il programma per risolvere questo problema".
Si tratta di una semplice distrazione, per indurre l'utente a credere di aver scaricato qualcosa di non fuzionante. Nel frattempo il malware dietro le quinte verifica se può stabilire una connessione in uscita e, in caso positivo, cerca di contattare il dominio 1flchier[.]com. Si tratta di un dominio che scimmiotta quello del provider di cloud storage 1fichier, usando la lettera L come terzo carattere invece di una I. Il malware si connette a questo dominio per riportare il nome del programma o del gioco che l'utente desiderava scaricare.
Infine Vigilante modifica il file HOSTS presente sul sistema, ridirezionando all'IP 127.0.0.1 (localhost) una lunga lista di domini di siti web che ospitano materiale pirata, tra cui il celebre thepiratebay.com, rendendoli così inaccessibili. Questa operazione più richiedere le autorizzazioni di amministratore sui recenti sistemi Windows. Alcune versioni del malware cercano di scalare i permessi, ma in caso l'operazione non dovesse riuscire il file HOSTS non viene modificato.
Dal momento che, come detto, Vigilante non ha alcuna capacità di persistenza è sufficiente, per rimediare ad un'eventuale infezione, modificare manualmente il file hosts e rimuovere le voci aggiunte dal malware. E' veramente tutto qui: il malware non fa nulla di quanto un normale malware farebbe (rubare password, spiare l'utente, minare criptovalute o crittografare il contenuto del disco di sistema). Si tratta di un esperimento di qualche hacker alle prime armi?
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infole probabilità che siano stati loro è pari al 0%
Allarme rientrato !
posto che lo uac rompe le scatole, e non poco, la soluzione sarebbe davvero usare il pc in modalità guest, non dico che elimini tutti i problemi ma quasi
Peccato che poi il 50% dei programmi e dei giochi non funziona se non sei amministratore
guest? non user?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".