我們在網路上常見的,或是一般熟知的木馬、惡意軟體,其目的不是為錢就是為了用戶個人資訊,他們的目標非常明確也讓人很容易就能了解(了解,不是理解),近日有安全研究單位發現了一支近期看來最奇怪的惡意軟體,它的動機與目的性完全超出了我們對病毒的認知,反而讓人覺得這根本就是鄉民的正義。
最詭異惡意軟體,阻止用戶造訪可下載盜版軟體的網站
在 SophosLabs 最新的一份報告中分享了這個類似於「私刑」的惡意軟體,研究員指出,這款惡意軟體假冒成盜版軟體執行檔透過 Discord 或盜版下載網站傳播,它沒有試圖從你的電腦中拿到密碼,也不會跟你索要贖金,而是透過修改受感染的設備主機檔來阻止用戶訪問最受歡迎的盜版軟體下載網站,例如海盜灣。
它的傳播方式仿照盜版軟體下載網站中的檔案模式,整個檔案中包含了重新讀取檔、NFO檔、返回海盜灣的捷徑檔與 readme 檔案,然而包含在裏頭的許多文件並沒有任何作用,僅是用來填充讓它看起來就像一般的盜版軟體檔案。一旦用戶下載執行後,它會修改 Windows 的主機檔以添加許多程式碼,並且將眾多盜版軟體下載網站列為黑名單,當你試圖造訪列表中的網址時,將會重新被定向到攻擊者的本地主機,而無法連接到目標網址的實際 IP 位址,有效阻止用戶前往盜版軟體網站。
▲ 由私刑惡意軟體修改後的主機檔
比較糟糕的是,當這款惡意軟體被執行時,它會連接到攻擊者控制下的遠端主機,並且發送感染用戶的假報盜版軟體名稱。由於 Web 伺服器通常會記錄訪問者的 IP 位址,也就是說攻擊者能夠既得到你的 IP,也能得到你試圖想要下載的軟體與影片名稱。雖然不知道這些資訊是用來幹嘛的,但這若是落入不肖人士手上,還能成為進一步攻擊的媒介,例如電子郵件詐騙等。
◎資料來源:Bleeping Computer