Malware Vigilante

Iniciado por Dragora, Junio 18, 2021, 07:59:50 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El malware ha cambiado su objetivo en los últimos años. En el pasado, se buscaba simplemente entorpecer el funcionamiento de los ordenadores sin obtener un rédito a cambio. Posteriormente se fueron buscando contraseñas y datos de cuentas, y luego llegó el ransomware, que cifra los archivos de los usuarios y a cambio se pide un rescate. Por ello, es raro encontrar un virus que tiene como objetivo simplemente fastidiar a los usuarios, y con un tema tan curioso como es el de la piratería.

Ese es el caso del malware Vigilante, descubierto y bautizado por el investigador jefe de SophosLabs, Andrew Brandt. El malware se instala cuando los usuarios descargan y ejecutan lo que creen que es software o juegos pirata. Sin embargo, el malware reporta el nombre del archivo y la dirección IP del usuario a un servidor controlador por el atacante.


El malware bloquea el acceso a 1.000 webs pirata

Además, otro pequeño detalle que tiene el malware es bloquear el acceso a más de 1.000 páginas relacionadas con la piratería, incluyendo The Pirate Bay. Con esto, parece que a simple vista el malware estuviese hecho por alguna asociación antipiratería como la ACE.

Así, mientras la mayoría del malware va buscando robar datos como contraseñas, cookies, propiedad intelectual, o pulsaciones de teclado, éste se dedica a intentar parar la actividad pirata del usuario, algo que no debería importar a los creadores de malware.

Para bloquear el acceso a páginas web, el malware modifica el archivo hosts de Windows, redirigiendo las URL a la IP 127.0.0.1, de manera que cuando el usuario vaya a intentar acceder a ellas desde el navegador, la web no cargue. La única forma de arreglarlo es ir al archivo y eliminar las nuevas entradas.


Archivos infectados en grupos de Discord y torrents

La distribución del malware parece estar muy generalizada, donde Brandt lo ha detectado en varios archivos compartidos en grupos de Discord. También lo descubrió en redes torrent dentro de juegos, herramientas de productividad y software relacionado con la seguridad.

Analizando el código del malware también se encuentran otras peculiaridades. Por ejemplo, muchos de sus ejecutables están firmados digitalmente con una herramienta de firmado falsa. Estas firmas contienen una cadena de 18 caracteres en minúsculas y mayúsculas. La validez de los certificados arranca el día en el que los archivos pasan a estar disponibles, y caducan en 2039.

Curiosamente, cuando se analiza el código con un editor hexadecimal, los ejecutables también cuentan con un mensaje racista que se repiten más de 1.000 veces. Esto parece hecho para modificar el hash final del archivo, y aporta mucha información sobre el tipo de persona que ha podido elaborar el malware y sus principios.

El malware Vigilante tiene la ventaja de que no cuenta con ningún método de persistencia integrado, de manera que una vez ha actuado, ya no vuelve a actuar. Por ello, lo único que hace falta es editar el archivo hosts para devolverlo a la normalidad. Eso sí, los datos robados no pueden recuperarse.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta