Vigilante Malware

Por definición, las amenazas de malware están diseñadas para realizar alguna actividad nefasta. Los diferentes ciberdelincuentes tienen diferentes objetivos: espiar a los usuarios desprevenidos, robar datos confidenciales y luego cargarlos en un servidor remoto, capturar teclas presionadas para obtener credenciales de inicio de sesión o pago, secuestrar los recursos del dispositivo infectado y luego usarlos para extraer criptografía. monedas, o cifrar los datos del usuario y exigir un rescate por su restauración. Sin embargo, el malware Vigilante es algo diferente. De hecho, tiene poco en común con las amenazas de malware descritas anteriormente. Este troyano en particular está diseñado para atacar a las personas que descargan software pirateado y luego bloquear sus computadoras para que no abran las direcciones de más de 1000 rastreadores de torrents y plataformas de descarga.

El malware Vigilante infecta a sus víctimas escondiéndose dentro de paquetes de software distribuidos a través de un servicio de chat de Discord o disfrazándose como varios juegos populares, herramientas de software y productos de seguridad disponibles a través de BitTorrent. Además, para aumentar artificialmente el tamaño del archivo dañado, incluye archivos no funcionales de longitud aleatoria. Los ejecutables armados se firman utilizando una herramienta de firma de código falso y el certificado generado expira en 2039.

Su peculiar funcionalidad

Una vez que la amenaza se infiltra en el dispositivo del usuario, obtiene el nombre del archivo que se ejecutó y la dirección IP del sistema y los informa al servidor del atacante en forma de una solicitud HTTP GET. La dirección del servidor se eligió para imitar intencionalmente al proveedor de almacenamiento en la nube 1fichier.

Vigilante está entonces listo para pasar a su funcionalidad principal. La amenaza procede a modificar el archivo HOSTS del sistema comprometido. Agrega las direcciones de mil sitios de Internet comúnmente asociados con la entrega de software pirateado, como el popular rastreador de torrents Pirate Bay y muchos de sus proxies. Cada dominio inyectado en el archivo HOSTS se asignará para abrir la dirección IP 127.0.0.1, una dirección IP reservada que utiliza un sistema informático para referirse a sí mismo. En la práctica, cualquier solicitud realizada a esta dirección no llega a Internet, sino que se redirige al sistema. Las víctimas del malware Vigilante no podrán acceder a ninguno de los sitios web objetivo.

Los efectos del malware se pueden revertir fácilmente. Después de todo, el malware Vigilante no tiene la capacidad de establecer un mecanismo de persistencia en los sistemas infectados. Las víctimas pueden simplemente limpiar su archivo HOSTS y todo volverá a la normalidad.