Vigilante è il malware innocuo ma bacchettone: blocca l'accesso ai siti web con materiale pirata

Vigilante è il malware innocuo ma bacchettone: blocca l'accesso ai siti web con materiale pirata

Individuato un malware davvero insolito: non fa nulla di pericoloso o nocivo, ma blocca l'accesso ai siti web come The Pirate Bay modificando il file hosts del sistema

di pubblicata il , alle 12:41 nel canale Apple
 

I ricercatori di SophosLabs raccontano di un'insolita scoperta: un malware che invece di rubare informazioni o compromettere il sistema in maniera più o meno irrecuperabile, si occupa invece di negare l'accesso a siti che ospitano materiale piratato. Il malware è stato battezzato Vigilante e opera modificando il file hosts del sistema della vittima, senza particolari sofisticazioni e nemmeno misure di persistenza.

Questo malware viene distribuito sotto le mentite spogle di una varietà di pacchetti software pirata, che vengono promossi all'interno di canali dedicati su Discord. Altre versioni sono state distribuite tramite Bittorrent, mascherandosi da videogiochi, strumenti di produttività e suite di sicurezza.

Il funzionamento di Vigilante, come dettaglia SophosLabs, è davvero molto semplice: quando il file viene scaricato e avviato, il sistema visualizza un falso messaggio di errore: "Il programma non può essere avviato perché MSVCR100.dll non è presente nel computer. Prova a reinstallare il programma per risolvere questo problema".

Si tratta di una semplice distrazione, per indurre l'utente a credere di aver scaricato qualcosa di non fuzionante. Nel frattempo il malware dietro le quinte verifica se può stabilire una connessione in uscita e, in caso positivo, cerca di contattare il dominio 1flchier[.]com. Si tratta di un dominio che scimmiotta quello del provider di cloud storage 1fichier, usando la lettera L come terzo carattere invece di una I. Il malware si connette a questo dominio per riportare il nome del programma o del gioco che l'utente desiderava scaricare.

Infine Vigilante modifica il file HOSTS presente sul sistema, ridirezionando all'IP 127.0.0.1 (localhost) una lunga lista di domini di siti web che ospitano materiale pirata, tra cui il celebre thepiratebay.com, rendendoli così inaccessibili. Questa operazione più richiedere le autorizzazioni di amministratore sui recenti sistemi Windows. Alcune versioni del malware cercano di scalare i permessi, ma in caso l'operazione non dovesse riuscire il file HOSTS non viene modificato.

Dal momento che, come detto, Vigilante non ha alcuna capacità di persistenza è sufficiente, per rimediare ad un'eventuale infezione, modificare manualmente il file hosts e rimuovere le voci aggiunte dal malware. E' veramente tutto qui: il malware non fa nulla di quanto un normale malware farebbe (rubare password, spiare l'utente, minare criptovalute o crittografare il contenuto del disco di sistema). Si tratta di un esperimento di qualche hacker alle prime armi?

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gringo [ITF]18 Giugno 2021, 12:44 #1
Bello vedere come i grandi del Cinema e dei Videogiochi tornano a mettere le mani nei computer altrui per proteggere i propri interessi, ricordo ancora cdrwin che formattava il disco fisso con seriale pirata. (poi gli hanno dato una calmata)
Alessio.1639018 Giugno 2021, 12:59 #2
Questo lo facevo anch'io nel 2010-2012 con un semplice .bat per tutte le macchine dell'azienda, fino a quando non si sono convinti di filtrare il traffico lato server e non client ( )
omerook18 Giugno 2021, 13:04 #3
Ma non si rimedia un file host editato fa questo malware?..ovviamente per motivi di studio.
coschizza18 Giugno 2021, 13:43 #4
Originariamente inviato da: Gringo [ITF]
Bello vedere come i grandi del Cinema e dei Videogiochi tornano a mettere le mani nei computer altrui per proteggere i propri interessi, ricordo ancora cdrwin che formattava il disco fisso con seriale pirata. (poi gli hanno dato una calmata)


le probabilità che siano stati loro è pari al 0%
giuvahhh18 Giugno 2021, 13:55 #5
ok, finchè non mi tocca youporn sono tranquillo!
pps18 Giugno 2021, 14:01 #6
...se la gente smettesse di usare account con privilegi amministrativi e addirittura disabilitare lo UAC perchè "rompe sempre i c****ni", queste cose non succederebbero...
Saturn18 Giugno 2021, 14:01 #7
Ragazzi...non ci crederete ma mi ero convinto di aver letto porno invece che pirata. Stavo già per rispondere....come innocuo ?!?

Allarme rientrato !
Opteranium18 Giugno 2021, 14:20 #8
Originariamente inviato da: pps
...se la gente smettesse di usare account con privilegi amministrativi e addirittura disabilitare lo UAC perchè "rompe sempre i c****ni", queste cose non succederebbero...

posto che lo uac rompe le scatole, e non poco, la soluzione sarebbe davvero usare il pc in modalità guest, non dico che elimini tutti i problemi ma quasi
Cfranco18 Giugno 2021, 15:40 #9
Originariamente inviato da: pps
...se la gente smettesse di usare account con privilegi amministrativi e addirittura disabilitare lo UAC perchè "rompe sempre i c****ni", queste cose non succederebbero...


Peccato che poi il 50% dei programmi e dei giochi non funziona se non sei amministratore
zappy18 Giugno 2021, 21:25 #10
Originariamente inviato da: Opteranium
posto che lo uac rompe le scatole, e non poco, la soluzione sarebbe davvero usare il pc in modalità guest, non dico che elimini tutti i problemi ma quasi

guest? non user?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^