О ситуации рассказал главный исследователь SophosLabs Эндрю Брандт. По его словам, это самый странный случай, который попадался ему за последнее время: "Один из моих коллег по лаборатории недавно рассказал мне о вредносной кампании, основная цель которой, похоже, не совпадает со всеми наиболее распространенными мотивами вирусов. Вместо попытки похитить пароли или требовать у владельца компьютера выкуп, этот блокирует жертве доступ к большому количеству сайтов, посвященных пиратскому ПО, внося изменения в файл HOSTS в зараженной системе".
Интересно Вдохновленные природой: как создавался дизайн наушников Huawei FreeBuds 4i
Почему вирус особенный
Распространяли вредоносный код тем же способом, с которым он и боролся – через торрент-трекеры с пиратским контентом, а также Discord.
После загрузки при запуске вирус менял файл HOSTS в системе жертвы, добавляя в него многочисленные записи для пиратских сайтов (в основном, связанных с The Pirate Bay). Таким образом пользователь не мог попасть на внесенные в файл сайты.
Также вирус подключался к удаленному узлу, что находился под контролем хакеров, и передавал операторам название фейкового пиратского софта, благодаря которому заразился пользователь. Поскольку серверы обычно регистрируют IP-адреса, злоумышленники узнавали еще и IP-адрес пирата.
Неизвестно как использовали эту информацию злоумышленники. Но исследователь предупреждает, что хакеры могут поделиться ею с интернет-провайдерами, правообладателями или даже с правоохранительными органами. Также создатели вредителя могут использовать эти данные в последующих атаках, например, требуя у пользователей деньги за молчание.