Los investigadores de Sophos han descubierto una campaña de malware que no sigue los patrones de comportamiento típicos y es que su tarea es la de bloquear a usuarios cuando intentan acceder a sitios web donde se pueden descargar contenidos y software sin licencia.
De acuerdo con ZDnet, los medios de distribución de este malware varían. Algunas muestras estaban enterradas en archivos disfrazados de paquetes de software a través del servicio de chat Discord, mientras que otras se distribuyen directamente a través de torrent.
Para engañar, usa los nombres de numerosas marcas de software, juegos, herramientas de productividad y soluciones de ciberseguridad.
Así se esconde este curioso malware
Los paquetes maliciosos se nombran en formatos comunes que se usan cuando se distribuye software sin licencia, como "Minecraft 1.5.2 Cracked [Full Installer][Online][Server List]". Los archivos se etiquetan para que aparezcan como subidos desde The Pirate Bay.
De acuerdo con Sophos los que se distribuyen a través de Bittorrent se han empaquetado de este modo: añadidos a un archivo comprimido que también contiene un archivo de texto y otros archivos auxiliares, así como un archivo de acceso directo a Internet.
Si se hace doble clic en el ejecutable del malware, aparece un mensaje emergente que afirma que al sistema de la víctima le falta un archivo .DLL. En segundo plano, el malware realiza una modificación del archivo HOSTS de la víctima a través de ProcessHacker. De esta forma, si se logran escalar los privilegios para escribir en ese archivo, los atacantes pueden hacer que un equipo deje de poder conectar a las direcciones contenidas en él.
Se trata de una forma muy rudimentaria de bloquear, pues cualquiera puede modificar el archivo HOSTS y limpiar las direcciones bloqueadas o cambiarlas por otras. Pero en muchos casos, será efectiva y la víctima no sabrá que ha ocurrido.
Ver 1 comentarios