Un malware vous empêche de télécharger des logiciels piratés

0

Un développeur bienveillant a décidé de s’attaquer au piratage de logiciels en distribuant un malware qui empêche d’accéder à des sites de logiciels piratés.

Les pirates informatiques utilisent couramment des logiciels piratés et de faux sites de crack pour distribuer des logiciels malveillants à des utilisateurs peu méfiants qui pensent télécharger un jeu ou un film.

Les logiciels malveillants distribués via ces méthodes sont généralement des chevaux de Troie voleurs d’informations, des ransomwares ou des crypto-mineurs qui peuvent être utilisés pour générer du profit pour le hacker.

Le malware bloque l’accès à The Pirate Bay

Dans un nouveau rapport, SophosLabs explique comment un malware « bienveillant » est distribué et empêche les pirates d’accéder au site de torrent de contenu protégé le plus populaire, The Pirate Bay.

« Dans l’un des cas les plus étranges que j’ai vu depuis un moment, l’un de mes collègues du laboratoire m’a récemment parlé d’une campagne de logiciel malveillant dont l’objectif principal semble s’éloigner des motifs de logiciels malveillants les plus courants. » explique Andrew Brandt, chercheur principal de SophosLabs, dans un nouveau rapport.

« Au lieu de chercher à voler des mots de passe ou à extorquer une rançon au propriétaire d’un ordinateur, ce malware empêche les ordinateurs des utilisateurs infectés de visiter un grand nombre de sites Web dédiés au piratage de logiciels en modifiant le fichier HOSTS sur le système infecté. »

Selon Brandt, le nouveau malware est distribué via Discord ou des sites torrent de logiciels piratés. Sur Discord, le malware est distribué sous forme d’exécutables autonomes se faisant passer pour des logiciels piratés, comme indiqué ci-dessous.

malware
Malware hébergé sur Discord

Sur des sites comme The Pirate Bay, le malware est distribué de la même manière que d’autres fichiers torrent dans le sens où ils contiennent des fichiers readme, des fichiers NFO et des fichiers de raccourci vers thepiratebay.org.

readme malware
Faux ReadMe dans torrent malveillant

Cependant, de nombreux fichiers contenus dans ces archives torrent ne servent à rien et ne sont ajoutés qu’à titre de remplissage pour usurper l’identité de votre torrent de logiciel/film piraté typique.

« En regardant de plus près ces fichiers fournis avec le programme d’installation, il est clair qu’ils n’ont aucun avantage pratique autre que de donner à l’archive l’apparence de fichiers généralement partagés sur Bittorrent et de modifier les valeurs de hachage avec l’ajout de données aléatoires », explique Brandt dans son rapport.

Une fois qu’un utilisateur exécute l’exécutable du logiciel malveillant, il modifie le fichier Windows HOSTS pour ajouter de nombreuses entrées qui pointent vers 127.0.0.1 pour les sites associés à The Pirate Bay.

hosts files
Fichier HOSTS modifié par le malware

Après avoir ajouté ces entrées HOSTS, lorsqu’un utilisateur tente d’accéder à l’un des sites répertoriés, il sera plutôt redirigé vers son hôte local et ne pourra pas se connecter à l’adresse IP réelle du site. Cela bloque efficacement l’accès aux sites répertoriés qui distribuent des torrents pour du contenu protégé par le droit d’auteur.

Pour aggraver les choses, lorsque le malware est exécuté, il se connecte à un hôte distant sous le contrôle de l’attaquant et envoie le nom du faux logiciel piraté qui a infecté l’utilisateur.

Comme les serveurs Web enregistrent généralement l’adresse IP d’un visiteur, l’attaquant dispose désormais à la fois de l’adresse IP de la personne infectée et du nom du logiciel ou du film qu’il a tenté d’utiliser.

Bien qu’on ne sache pas à quoi servent ces informations, les hackers pourraient les partager avec les FAI, les agences de droit d’auteur ou même les forces de l’ordre.

Les attaquants pourraient également utiliser ces informations dans d’autres attaques, telles que des campagnes d’extorsion par courrier électronique où le hacker menace de révéler l’activité illégale de l’utilisateur s’il ne paie pas une petite rançon.

Brandt a déclaré que cette campagne de logiciel malveillant était en ligne entre Octobre 2020 et Janvier 2021, lorsque le site de l’attaquant s’est déconnecté.

Selon Brandt, les torrents malveillants ont également cessé d’être distribués, probablement après que les utilisateurs aient cessé de les partager après avoir appris que les fichiers étaient malveillants ou faux.

Ce sont des évènements rares mais ce genre de justiciers se sont fait justice dans le passé en piratant Netgear pour supprimer les logiciels malveillants, en distribuant des logiciels malveillants pour sécuriser les appareils IoT et bien plus encore.

Laisser un commentaire