Vigilante 恶意软件阻止受害者访问盗版网站

近日，Sophos 研究人员发现了一个恶意软件活动，该活动旨在通过修改受感染系统上的 HOSTS 文件来阻止受感染用户访问大量专用于软件盗版的网站。

义务警员在档案中分发义务警员恶意软件，伪装成各种软件包，这些软件包通过 Discord 聊天服务进行广告宣传。在其他情况下，软件包直接通过 torrent 分发。 

义警将这些页面命名为流行游戏、生产力工具甚至安全产品，这种情况表明该活动针对的是从游戏玩家到专业人士的大量受众。 

该活动涉及数百个不同的软件品牌，这些软件品牌由在 Virustotal 上搜索相关样本时找到的文件名表示。研究人员发现的文件使用了诸如“Left 4 Dead 2 (v2.2.0.1 Last Stand + DLCs + MULTi19)”和“Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]”之类的名称。以吸引搜索盗版软件的用户的注意力。

“似乎托管在 Discord 文件共享上的文件往往是单独的可执行文件。通过 Bittorrent 分发的文件的打包方式更类似于使用该协议通常共享盗版软件的方式：添加到一个压缩文件中，该文件还包含一个文本文件和其他辅助文件，以及一个老式的 Internet 快捷方式指向 ThePirateBay 的文件。” Sophos 发布的分析说到。

单击可执行文件后，会向受害者显示一条消息弹出窗口，通知他们计算机中缺少 .DLL 文件。

在后台，恶意软件从外部域获取名为 ProcessHacker.jpg 的下一阶段有效负载。恶意代码通过修改目标机器上的 HOSTS 文件的方式来阻止数百到 1000 多个网站，其中大部分网站提供与盗版相关的内容。

专家注意到，在某些情况下，由于缺乏所需的权限，恶意软件无法修改 HOSTS 文件。

好消息是，该恶意软件的受害者可以简单地从其 HOSTS 文件中删除条目，以便能够再次访问被阻止的网站。

点击龙名网，查看更多网络安全资讯。

声明:本文系作者授权龙名社区发表，未经许可，不得转载。

如有侵权，请联系平台删除。