Главный исследователь SophosLabs Эндрю Брандт обнаружил одно из самых необычных вредоносных ПО, сообщает портал ArsTechnica.
«Очень необычно видеть что-то подобное, потому что, как правило, у большинства вредоносных программ есть только один мотив: воровство. Но не в этом случае. Это ПО совершает всего несколько действий, и ни одно из них не соответствует типичным мотивам злоумышленников», — написал Брандт в Twitter.
Вредоносное ПО может скрываться в популярных играх, инструментах повышения производительности и антивирусах, которые доступны через BitTorrent. Также программа может распространяться через Discord.
Сразу после того, как жертва запускает файл, содержащий Vigilante, имя этого файла и IP-адрес жертвы отправляются в формате HTTP GET на контролируемый злоумышленником 1flchier [.] Com. После чего вредоносное ПО блокирует доступ к The Pirate Bay и более тысячи других пиратских интернет-ресурсов.
Каким же образом это происходит? Vigilante меняет файл HOSTS в системе с занесением в список перечня доменов со ссылкой на адрес 127.0.0.1. Сопоставляя домены с локальным хостом, вредоносная программа гарантирует, что компьютер больше не сможет получить доступ к сайтам из списка.
«Такой способ блокировки является достаточно простым, но одновременно с этим эффективным. Для восстановления доступа к ресурсам пользователю будет достаточно удалить «вредоносные» записи из файла, так как вирус в свою очередь не имеет механизма для проверки текущего состава списка», — рассказал ведущий аналитик Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Дмитрий Лифанов.
По его словам, для отвлечения пользователя при запуске ему выдается системная ошибка, одновременно с этим Vigilante производит проверку сетевого соединения, выполняет свои целевые действия и направляет на удаленный сервер информацию о запущенном файле.
«Потенциально, создатель вируса преследует цель, связанную с борьбой с пиратским контентом. Об этом свидетельствует то, что жертвами вируса становятся те, кто пользуется нелицензионным программным обеспечением. При этом не стоит исключать того факта, что обнаруженный вредонос мог проходить «условное» тестирование схемы заражения и в дальнейшем будет перенастроен на другой функционал. Например, на воровство конфиденциальной информации или шифрование данных пользователя», — предостерег эксперт.
Директор департамента информационной безопасности компании Oberon Евгений Суханов также упомянул, что функционал вредоносного ПО может изменяться, так как управление зараженным автоматизированным рабочим местом происходит с сервера злоумышленников.
«Если на начальном этапе вирусное ПО на первый взгляд не несет никакой угрозы, кроме блокировки сайтов, в один момент все может измениться — его функционал может быть существенно расширен»,— отмечает эксперт.
При этом, по словам Суханова, проблема заключается в том, что до обновления ПО может даже не определяться как скомпрометированное средствами антивирусной защиты.