Một nhà phát triển thận trọng xoay chuyển tình trạng vi phạm bản quyền phần mềm bằng cách phân phối phần mềm độc hại ngăn chúng truy cập các trang web phần mềm vi phạm bản quyền trong tương lai.
Những kẻ đe dọa thường sử dụng phần mềm vi phạm bản quyền và các trang web Cr@ck giả để phân phối phần mềm độc hại cho những người dùng không nghi ngờ, những người nghĩ rằng họ đang tải xuống trò chơi hoặc bộ phim mới nhất.
Phần mềm độc hại được phân phối thông qua các phương pháp này thường là Trojan ăn cắp thông tin, ransomware hoặc công cụ khai thác tiền điện tử có thể được sử dụng để tạo ra giá trị cho tác nhân đe dọa.
Phần mềm độc hại chặn quyền truy cập vào Vịnh Pirate
Trong một báo cáo mới, SophosLabs chia sẻ cách phân phối phần mềm độc hại cảnh giác để ngăn chặn tin tặc truy cập trang web torrent phổ biến nhất với nội dung được bảo vệ bản quyền, The Pirate Bay.
"Trong một trong những trường hợp kỳ lạ nhất mà tôi đã thấy trong một thời gian dài, một trong những đồng nghiệp của tôi tại Labs gần đây đã nói với tôi về một chiến dịch phần mềm độc hại có mục đích chính dường như tránh xa các mô-típ phần mềm độc hại phổ biến hơn." Điều tra viên chính của SophosLabs, Andrew Brandt, giải thích trong báo cáo mới.
"Thay vì cố gắng đánh cắp mật khẩu hoặc tống tiền chủ sở hữu máy tính để đòi tiền chuộc, phần mềm độc hại này khóa máy tính của người dùng bị nhiễm truy cập một số lượng lớn các trang web tấn công bằng cách sửa đổi tệp HOSTS trong hệ thống bị nhiễm".
Theo Brandt, phần mềm độc hại mới này được phát tán qua Discord hoặc các trang web torrent phần mềm vi phạm bản quyền. Trong Discord, phần mềm độc hại được phân phối dưới dạng tệp thực thi độc lập giả vờ là phần mềm vi phạm bản quyền, như hình dưới đây.
Phần mềm độc hại được lưu trữ trên Discord
Trên các trang web như The Pirate Bay, phần mềm độc hại được phát tán tương tự như các tệp torrent khác ở chỗ chúng chứa tệp readme, tệp NFO và tệp lối tắt đến thepiratebay.org.
Tệp readme giả mạo trong một torrent độc hại
Tuy nhiên, nhiều tệp chứa trong các tệp torrent này không có mục đích gì và chỉ được thêm vào làm bộ đệm để giả dạng như phần mềm torrent phim / phim lậu thông thường của bạn.
"Xem xét kỹ hơn các tệp này được bao gồm trong trình cài đặt, rõ ràng là chúng không có lợi ích thiết thực nào ngoài việc mang lại cho tệp giao diện của các tệp thường được chia sẻ qua Bittorrent và sửa đổi hàm băm bằng việc bổ sung dữ liệu ngẫu nhiên." Brandt. trong báo cáo của bạn.
Khi người dùng chạy tệp thực thi phần mềm độc hại, họ sẽ sửa đổi tệp Windows HOSTS để thêm nhiều mục nhập trỏ đến 127.0.0.1 cho các trang web được liên kết với The Pirate Bay.
Tệp HOSTS bị phần mềm độc hại sửa đổi
Sau khi thêm các mục HOSTS này, khi người dùng cố gắng truy cập một trong các trang web được liệt kê, họ sẽ được chuyển hướng đến máy chủ lưu trữ cục bộ của họ và sẽ không thể kết nối với địa chỉ IP thực của trang web. Điều này có hiệu quả chặn quyền truy cập vào các trang web torrent được liệt kê cho nội dung có bản quyền.
Tệ hơn nữa, khi phần mềm độc hại cảnh giác chạy, nó sẽ kết nối với một máy chủ từ xa dưới sự kiểm soát của kẻ tấn công và gửi tên của phần mềm vi phạm bản quyền giả mạo đã lây nhiễm cho người dùng.
Vì các máy chủ web thường ghi lại địa chỉ IP của khách truy cập, kẻ tấn công hiện có cả địa chỉ IP của tên cướp biển và tên của phần mềm hoặc bộ phim mà hắn đã cố gắng sử dụng.
Mặc dù không biết thông tin này được sử dụng để làm gì, nhưng các tác nhân đe dọa có thể chia sẻ thông tin đó với ISP, cơ quan bản quyền hoặc thậm chí cơ quan thực thi pháp luật.
Những kẻ tấn công cũng có thể sử dụng thông tin này trong các cuộc tấn công khác, chẳng hạn như các chiến dịch tống tiền qua email, trong đó kẻ tấn công đe dọa sẽ tiết lộ hoạt động bất hợp pháp của người dùng nếu anh ta không trả một yêu cầu tống tiền nhỏ.
Brandt nói với BleepingComputer rằng chiến dịch phần mềm độc hại này đã hoạt động từ tháng 10 năm 2020 đến tháng 1 năm 2021, khi trang web của kẻ tấn công ngoại tuyến.
Theo Brandt, các torrent độc hại cũng ngừng được phát tán, có thể là sau khi người dùng ngừng gửi chúng sau khi biết rằng các tệp này là độc hại hoặc giả mạo.
Văn bản được dịch từ tiếng Tây Ban Nha sang tiếng Việt với Google Dịch
Tôi cảm thấy sự bất tiện của những từ bị dịch sai
xem phần còn lại của bài viết