Vigilante Malware

定義上、マルウェアの脅威は、いくつかの不正な活動を実行するように設計されています。サイバー犯罪者によって目標は異なります。疑いを持たないユーザーをスパイし、機密データを盗んでリモートサーバーにアップロードし、押されたキーをキャプチャしてログインまたは支払いの資格情報を取得し、感染したデバイスのリソースを乗っ取って、それらを使用して暗号をマイニングします。コイン、またはユーザーのデータを暗号化し、その復元のために身代金を要求する。ただし、Vigilanteマルウェアは多少異なります。実際、上記のマルウェアの脅威との共通点はほとんどありません。この特定のトロイの木馬は、海賊版ソフトウェアをダウンロードする人々を標的にして、コンピューターが1000を超えるトレントトラッカーとダウンロードプラットフォームのアドレスを開くのをブロックするように設計されています。

Vigilanteマルウェアは、Discordチャットサービスを介して配布されたソフトウェアパッケージ内に隠れたり、BitTorrentを通じて入手可能ないくつかの人気のあるゲーム、ソフトウェアツール、セキュリティ製品になりすましたりして、被害者に感染します。さらに、破損したアーカイブのサイズを人為的に増やすために、ランダムな長さの機能しないファイルが含まれています。武器化された実行可能ファイルは、偽のコード署名ツールを使用して署名され、生成された証明書は2039年に期限切れになります。

その独特の機能

脅威がユーザーのデバイスに侵入すると、実行されたファイルの名前とシステムのIPアドレスを取得し、HTTPGETリクエストの形式で攻撃者のサーバーに報告します。サーバーのアドレスは、1fichierクラウドストレージプロバイダーを意図的に模倣するために選択されました。

これで、自警行為はそのコア機能に進む準備が整いました。脅威は、侵害されたシステムのHOSTSファイルの変更に進みます。これは、人気のあるトレントトラッカーであるPirate Bayやそのプロキシの多くなど、海賊版ソフトウェアの配信に一般的に関連する1000のインターネットサイトのアドレスを追加します。 HOSTSファイルに挿入された各ドメインは、IPアドレス127.0.0.1（コンピューターシステムがそれ自体を参照するために使用する予約済みIPアドレス）を開くように割り当てられます。実際には、このアドレスに対して行われた要求はインターネットに到達せず、代わりにシステムに再ルーティングされます。 Vigilanteマルウェアの被害者は、対象のWebサイトにアクセスできなくなります。

マルウェアの影響は簡単に元に戻すことができます。結局のところ、Vigilanteマルウェアには、感染したシステムで永続性メカニズムを確立する機能がありません。被害者はHOSTSファイルをクリーンアップするだけで、すべてが正常に戻ります。