Vigilante è il malware innocuo ma bacchettone: blocca l’accesso ai siti web con materiale pirata

Another ICT Guy

Vigilante è il malware innocuo ma bacchettone: blocca l’accesso ai siti web con materiale pirata

I ricercatori di SophosLabs raccontano di un’insolita scoperta: un malware che invece di rubare informazioni o compromettere il sistema in maniera più o meno irrecuperabile, si occupa invece di negare l’accesso a siti che ospitano materiale piratato. Il malware è stato battezzato Vigilante e opera modificando il file hosts del sistema della vittima, senza particolari sofisticazioni e nemmeno misure di persistenza.

Questo malware viene distribuito sotto le mentite spogle di una varietà di pacchetti software pirata, che vengono promossi all’interno di canali dedicati su Discord. Altre versioni sono state distribuite tramite Bittorrent, mascherandosi da videogiochi, strumenti di produttività e suite di sicurezza.

Il funzionamento di Vigilante, come dettaglia SophosLabs, è davvero molto semplice: quando il file viene scaricato e avviato, il sistema visualizza un falso messaggio di errore: “Il programma non può essere avviato perché MSVCR100.dll non è presente nel computer. Prova a reinstallare il programma per risolvere questo problema”.

Si tratta di una semplice distrazione, per indurre l’utente a credere di aver scaricato qualcosa di non fuzionante. Nel frattempo il malware dietro le quinte verifica se può stabilire una connessione in uscita e, in caso positivo, cerca di contattare il dominio 1flchier[.]com. Si tratta di un dominio che scimmiotta quello del provider di cloud storage 1fichier, usando la lettera L come terzo carattere invece di una I. Il malware si connette a questo dominio per riportare il nome del programma o del gioco che l’utente desiderava scaricare.

Infine Vigilante modifica il file HOSTS presente sul sistema, ridirezionando all’IP 127.0.0.1 (localhost) una lunga lista di domini di siti web che ospitano materiale pirata, tra cui il celebre thepiratebay.com, rendendoli così inaccessibili. Questa operazione più richiedere le autorizzazioni di amministratore sui recenti sistemi Windows. Alcune versioni del malware cercano di scalare i permessi, ma in caso l’operazione non dovesse riuscire il file HOSTS non viene modificato.

Dal momento che, come detto, Vigilante non ha alcuna capacità di persistenza è sufficiente, per rimediare ad un’eventuale infezione, modificare manualmente il file hosts e rimuovere le voci aggiunte dal malware. E’ veramente tutto qui: il malware non fa nulla di quanto un normale malware farebbe (rubare password, spiare l’utente, minare criptovalute o crittografare il contenuto del disco di sistema). Si tratta di un esperimento di qualche hacker alle prime armi?

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *