Rätselhafte neue Malware blockiert den Zugang zu Piraterieseiten

Cyber Security News

Forscher haben zugegeben, dass sie von einer neuen Malware verblüfft sind, die in erster Linie darauf abzielt, Opfer am Besuch von Software-Piraterie-Seiten zu hindern.

Andrew Brandt, Principal Researcher bei Sophos, bezeichnete die Entdeckung als “einen der seltsamsten Fälle, die ich seit langem gesehen habe.”

Er ist in Raubkopien verschiedener Software versteckt, darunter auch Sicherheitsprodukte, und wird über den Spiele-Chatdienst Discord und über Bittorent verbreitet. Nach einem Doppelklick wird eine gefälschte Fehlermeldung auf dem Bildschirm des Opfers eingeblendet, während er ausgeführt wird.

Die Malware blockiert offenbar den Besuch einer großen Anzahl von Piraterieseiten, indem sie die HOSTS-Datei auf den Systemen der infizierten Benutzer modifiziert. Brandt beschrieb dies als eine “grobe, aber effektive” Strategie – grob, weil die Malware, obwohl sie funktioniert, keinen Persistenzmechanismus hat.

Das bedeutet, dass jeder die Einträge in der HOSTS-Datei entfernen kann und diese entfernt bleiben, solange das Programm nicht ein zweites Mal ausgeführt wird. Bizarrerweise behauptete Brandt, vor mehr als einem Jahrzehnt eine Malware-Familie entdeckt zu haben, die sich fast identisch verhielt.

Die Malware lädt auch eine zweite Nutzlast herunter und führt sie aus, eine ausführbare Datei namens “ProcessHacker.jpg”.

Sie wird von Sophos als “Mal/EncPk-APV” erkannt.

Brandt sagte, dass das Ziel des Malware-Entwicklers immer noch ein Rätsel ist.

“Auf den ersten Blick deuten die Ziele und Tools des Angreifers darauf hin, dass es sich um eine Art grob zusammengestellte Anti-Piraterie-Operation handeln könnte. Die große potenzielle Zielgruppe des Angreifers – von Gamern bis hin zu Geschäftsleuten – in Kombination mit der merkwürdigen Mischung aus veralteten und neuen Tools, Techniken und Verfahren (TTPs) und der bizarren Liste von Websites, die von der Malware blockiert werden, lassen den letztendlichen Zweck dieser Operation jedoch etwas undurchsichtig erscheinen”, fügt er hinzu.

“Möglicherweise gibt es nicht einmal ein übergeordnetes Ziel für diesen Angriff. Das verringert jedoch nicht das Risiko oder die potenzielle Störung für die Opfer.”

Brandt forderte die Anwender auf, eine robuste Sicherheitslösung zu installieren, um solche Bedrohungen zu erkennen und den Download von raubkopierter oder “zu gut, um wahr zu sein”-Software zu vermeiden.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com