Зловред-виджиланте блокирует для пользователей The Pirate Bay

Согласно исследованию Sophos, вредоносное ПО Bizarre Vigilante Malware пытается заблокировать доступ жертв систем Windows к сайтам обмена файлами The Pirate Bay.

Содержимое вредоносного архива в Bittorrent

По словам исследователя Sophos Эндрю Брандта, этот вредонос пробивает доменные имена Pirate Bay, добавляя их в файл хостов Windows и указывая на 127.0.0.1, делая их недоступными с машины жертвы. При этом ПО распространяется через BitTorrent.

Поддельный исполняемый файл вредоносного ПО меняет файл hosts

Программное обеспечение маскируется под взломанные копии легального ПО типа AVG Remediation или Microsoft Visual Studio Enterprise 2019, доступные для загрузки на BitTorrent.

Один и тот же вредонос выглядит как множество разных программ

Это также могут быть ссылки, размещенные в чатах Discord.

Источником происхождения этого файла в VirusTotal был Discord

Исполняемые файлы в Discord

Когда вредонос запускается впервые, он создает поддельное всплывающее окно с сообщением, что на компьютере отсутствует файл динамически подключаемой библиотеки (DLL).

Срок действия сертификата большинства таких файлов истекает 31 декабря 2039 года.

После этого ПО проверяет, может ли оно получить доступ к Интернету и извлекаемому домену. Полезная нагрузка блокирует пиратские веб-сайты путем изменения файла hosts в зараженной системе при условии, что она имеет повышенные привилегии безопасности.

Данные таблицы свойств не совпадают с именами двоичных файлов в строке заголовка

В один файл можно добавить от 100 до более 1000 доменов, которые будут указывать обратно на адрес localhost, 127.0.0.1. Программа ищет определенные имена файлов в папке% PATH%. Если она их находит, то останавливает выполнение и не вносит никаких изменений.

Проблема с обнаружением этой вредоносной программы заключается в том, что установщики поставляются в комплекте со случайными файлами, такими как изображения, текстовые файлы и файлы .nfo. Они содержат расовые оскорбления и другие случайные символы, которые потенциально могут изменить хеш-значение файла.

В 2020 году несколько доменов, связанных с Pirate Bay, стали общедоступными, так как их владелец не продлил регистрацию. Piratebay.org и ThePiratebay.com продали на аукционе.

Сам сайт в 2012 году перешел с родного домена ThePiratebay.org на ThePiratebay.se, опасаясь, что первый у него отберут власти США. Позже, когда и .se оказался под угрозой, сайту пришлось сменить еще несколько доменов. Теперь ресурс функционирует с ThePiratebay.org.