Vigilante Malware

Par définition, les menaces de logiciels malveillants sont conçues pour effectuer des activités néfastes. Différents cybercriminels ont des objectifs différents - espionner les utilisateurs sans méfiance, voler des données sensibles puis les télécharger sur un serveur distant, capturer des clés pressées pour obtenir des informations de connexion ou de paiement, détourner les ressources de l'appareil infecté, puis les utiliser pour extraire des crypto-monnaies. pièces de monnaie, ou en cryptant les données de l'utilisateur et en exigeant une rançon pour sa restauration. Cependant, le malware Vigilante est quelque peu différent. En fait, il a peu de points communs avec les menaces de logiciels malveillants décrites ci-dessus. Ce cheval de Troie particulier est conçu pour cibler les personnes téléchargeant des logiciels piratés, puis empêcher leurs ordinateurs d'ouvrir les adresses de plus de 1000 trackers torrent et plateformes de téléchargement.

Le malware Vigilante infecte ses victimes en se cachant dans des packages logiciels distribués via un service de discussion Discord ou en se déguisant en plusieurs jeux, outils logiciels et produits de sécurité populaires disponibles via BitTorrent. De plus, pour augmenter artificiellement la taille de l'archive corrompue, il inclut des fichiers non fonctionnels de longueur aléatoire. Les exécutables armés sont signés à l'aide d'un faux outil de signature de code avec le certificat généré expirant en 2039.

Sa fonctionnalité particulière

Une fois que la menace se faufile sur l'appareil de l'utilisateur, elle obtient le nom du fichier qu'elle a été exécuté et l'adresse IP du système et les signale au serveur de l'attaquant sous la forme d'une requête HTTP GET. L'adresse du serveur a été choisie pour imiter intentionnellement le fournisseur de stockage cloud 1fichier.

Vigilante est alors prêt à passer à sa fonctionnalité principale. La menace procède à la modification du fichier HOSTS du système compromis. Il ajoute les adresses d'un millier de sites Internet couramment associés à la livraison de logiciels piratés, tels que le populaire traqueur torrent The Pirate Bay et plusieurs de ses proxys. Chaque domaine injecté dans le fichier HOSTS sera affecté pour ouvrir l'adresse IP 127.0.0.1 - une adresse IP réservée qu'un système informatique utilise pour se référer à lui-même. En pratique, toutes les demandes faites à cette adresse n'atteignent pas Internet mais sont plutôt redirigées vers le système. Les victimes du malware Vigilante ne pourront accéder à aucun des sites Web ciblés.

Les effets du malware peuvent être facilement inversés. Après tout, le malware Vigilante n'a pas la capacité d'établir un mécanisme de persistance sur les systèmes infectés. Les victimes peuvent simplement nettoyer leur fichier HOSTS et tout redeviendra normal.