Hay una campaña de malware vigilante que acecha las calles digitales, con un aparente resentimiento contra los sitios web pirateados y sus patrocinadores.
Después de infectar una computadora, el programa impide que el usuario visite una lista de sitios web, muchos de los cuales están relacionados con la descarga de torrents.
Lo hace de una manera bastante burda y simplista: secuestrando el archivo HOSTS del ordenador, que es el archivo de texto sin formato en los ordenadores que asigna los nombres de host a las direcciones IP cuando se conectan a la red de un dispositivo. Al modificar el archivo, puede evitar que tu dispositivo se conecte a ciertos dominios.
El virus atrapa a las víctimas desprevenidas al esconderse en una serie de paquetes de software falsos, incluidos los que dicen ser pirateados o versiones gratuitas de juegos populares, herramientas de productividad e incluso productos de seguridad.
Y… ¿COMO FUNCIONA?
La motivación del malware parecía bastante clara. Es decir, evita que las personas visiten sitios web de piratería de software (aunque sólo sea temporalmente).
De acuerdo a lo que indica en su investigación Andrew Brandt indica ser uno de los casos más extraños que ha visto, esto derivado de que en lugar de intentar robar contraseñas o extorsionar al propietario de una computadora para obtener un rescate, este malware bloquea las computadoras de los usuarios infectados para que no puedan visitar una gran cantidad de sitios web dedicados a la piratería de software.
Brandt sugiere que el malware bloquea el sitio web usando el archivo HOSTS en el sistema infectado; un método al que se refiere como “tosco pero efectivo”.
El «justiciero» es un subgénero interesante de malware, y aparece de vez en cuando. Dado que Internet es un verdadero pozo negro de criminalidad y mal comportamiento. El año pasado, en medio de un resurgimiento de la actividad de la destructiva botnet Emotet, alguien comenzó a sabotear sus operaciones de infección reemplazando sus cargas útiles de malware con divertidos GIF y memes. De manera similar, hace un par de años, un grupo desconocido pirateó 10,000 enrutadores domésticos, no para arruinarlos, sino para parchear sus vulnerabilidades y hacerlos más seguros.
Y, sin embargo, en lo que respecta a los vigilantes, este renegado antipiratería no es súper sofisticado, efectivo ni útil. Es más, como el vigilante malware molesto del vecindario, repartiendo volantes en la esquina de su calle local. Al igual que en esa situación, el mejor curso de acción aquí es probablemente poner los ojos en blanco y continuar su camino.
En su análisis del malware, Brandt señala que sus autores lo disfrazan como versiones descifradas de juegos populares en línea como Minecraft, así como herramientas de productividad, herramientas de seguridad y otro software popular.
El malware se distribuye a través de ThePirateBay, conocido por albergar todo tipo de contenido pirateado, incluido el software, así como a través del servicio de chat de juegos Discord.
Tras la ejecución, muestra un mensaje de error falso, mientras que en segundo plano ejecuta un par de comprobaciones antes de modificar el archivo HOSTS.
Sophos puso a prueba el malware y parece que realmente no hace nada siniestro, excepto evitar que los usuarios accedan a los repositorios en línea que alojan software pirateado.
Brandt concluye que el malware no modifica ningún otro archivo además del archivo HOSTS, que se puede limpiar fácilmente con un simple editor de texto.
Y, sin embargo, en lo que respecta a los vigilantes, este renegado antipiratería no es súper sofisticado, efectivo ni útil. Es más, como el vigilante malware molesto del vecindario, repartiendo volantes en la esquina de su calle local. Al igual que en esa situación, el mejor curso de acción aquí es probablemente poner los ojos en blanco y continuar su camino.
REFERENCIAS
- Sharma, Mayank, Esta banda de vigilantes ataca a los piratas de Internet con ataques de malware, techradar.com, recuperado: https://www.techradar.com/sg/news/this-band-of-vigilantes-is-hitting-internet-pirates-with-malware-attacks
- Cesar, Julio, Vigilante Malware impide que las personas visiten sus sitios de piratería favoritos, aplicacionesandroid.es, recuperado: https://aplicacionesandroid.es/vigilante-malware/
