Un malware empêche ses victimes d’aller sur des sites de téléchargement illégal

20 juin 2021 à 15h35
17
Pirate Bay © Pirate Bay
© Pirate Bay

Dans un rapport, SophosLab a indiqué avoir appris l'existence d'un malware destiné à empêcher ses victimes de télécharger illégalement.

Actif entre octobre 2020 et janvier 2021, ce malware se contentait de modifier le fichier HOSTS de ses victimes pour les empêcher d'aller sur The Pirate Bay et ses miroirs.

Un malware… original

L'auteur du rapport, Andrew Brandt, l'a décrit comme « l'un des cas les plus étranges que j'ai vus depuis un certain temps ». Il serait difficile de lui donner tort tant nous sommes habitués à des malwares dont la fonction première est de voler des données personnelles et autres identifiants de connexion. Mais celui-là est un cas particulier puisqu'il cherche à empêcher ses victimes de télécharger illégalement.

Ce malware est distribué de deux façons. La première part du logiciel de messagerie Discord , où il est envoyé sous la forme d'un simple exécutable censé être une version crackée d'un jeu ou d'un logiciel. La deuxième passe par les sites de piratage classiques, où il se présente sous la forme d'un dossier qui contient l'exécutable ainsi que d'autres dossiers et fichiers afin de lui donner l'apparence d'un torrent classique.

Une méthode peu efficace

Une fois l'exécutable lancé, il affiche un faux message d'erreur indiquant que le logiciel n'a pas pu être installé à cause d'un fichier .dll manquant. Par la suite, il contacte un site web appartenant à l'attaquant et lui envoie le nom du fichier que la victime tente de télécharger ainsi que son adresse IP. Il récupère aussi un deuxième malware, qui s'occupe de modifier le ficher HOSTS. Ces modifications servent à empêcher la victime d'accéder principalement à The Pirate Bay, en la redirigeant automatiquement vers son localhost dès qu'elle essaie d'y accéder.

La méthode n'est pas très efficace puisqu'il suffit de supprimer ces lignes de son fichier HOSTS pour pouvoir accéder de nouveau aux sites. Le plus gros risque est que les informations récupérées par l'attaquant puissent être envoyées à des organismes gouvernementaux ou à des fournisseurs d'accès internet, ou encore être utilisées dans de futures campagnes d'extorsion, en tant que chantage.

D'après Andrew Brandt, cette campagne de malware était active entre octobre 2020 et janvier 2021, moment où le site de l'attaquant a été mis hors ligne.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
14
Squeak
Ca ressemble vraiment à quelque chose fait par qui veut se protéger du piratage (des artistes? des éditeurs de jeux?..) car ici cela n’a aucun intérêt pour un pirate.<br /> Le niveau technique est proche de zéro, il existe d’autres méthodes plus poussées si vraiment on veut aller dans cette direction. Il y a bel et bien des malwares créés par des agences gouvernementales qui vont beaucoup plus loin que ça…
Squeak
Il suffit que le code «&nbsp;malveillant&nbsp;» soit livré comme un package d’installation classique (qui affiche donc la fenêtre demandant l’élévation de privilèges) et hop! un utilisateur peu averti s’y fait prendre. On pourrait aussi se dire que ça passe inaperçu comme modification : l’utilisateur ne saura pas accéder au site mais pensera-t-il à aller vérifier son fichier hosts? Ca peut être efficace pour certains groupes d’utilisateurs pas forcément très au courant de la chose…
tangofever
Une liste de ces adresses à bloquer dans le fichier hosts ?
TheLoy
Ou un autre site du genre qui cherche à mettre des batons dans les roues de la concurrence…
rexxie
Tu parles des requins de distributeurs qui ne laissent que des miettes aux auteurs là ?
calude_vincent
Malware blanc, le defonceur de La Défense des droits d’auteurs
SPH
Etrange affaire…
benben99
Un malware fait par une racaille pour nuire aux racaille qui volent le travail des ayants-droits. LOL
Gizmo64
C’est plutôt cocasse comme situation mine de rien
Blap
The Pirate Bay ne s’est jamais arrêté, ca reste une valeur sure pour plein de médias. Les packs de series completes sont notamment tres facile a trouver.
Blap
Je vois plusieurs centaines, et parfois plus de 1000 sur les fichiers que je recherche. L’important de toutes façon c’est le ratio et que le fichier arrive, et ca ne prend que quelques minutes
twenty94470
Ils se sont dit «&nbsp;c’est trop simple&nbsp;» et si on rajoutait un système de dll manquante qui indique au pirate d’aller sur un site pour la récupérer et en la récupérant il se chope la modification du fichier host
Pretarian
Ça ressemble à un ballon d’essai. D’ici quelques mois on va voir arriver un variant avec un payload bien plus virulent amha
Voir tous les messages sur le forum

Derniers actualités

Intel présente ses nouveaux NUC Pro
Ce chargeur à induction de chez Samsung est GRATUIT
BMW va adopter le même format de batteries que Tesla
Amazon Prime Video s'offre un coup de jeune bien mérité sur les Freebox
Realme lance son 9i 5G au rapport prix-performances bluffant, mais arrivera-t-il en France ?
Mettez Chrome à jour tout de suite pour corriger une faille zero-day exploitée
Quelle puce dans quel iPhone 15 ? A16 ou A17 ? Les choses se précisent
Cet étonnant robot est animé par un Raspberry Pi, mais est loin d'être low-cost
Le Core i9-13900K Raptor Lake d'Intel aurait un mode
Intel Arc A580 : sur Ashes of the Singularity, la carte graphique est au niveau d'une RTX 3050
Haut de page