Un malware empêche ses victimes d’aller sur des sites de téléchargement illégal

18 juin 2021 à 14h20
17
Pirate Bay © Pirate Bay
© Pirate Bay

Dans un rapport, SophosLab a indiqué avoir appris l'existence d'un malware destiné à empêcher ses victimes de télécharger illégalement.

Actif entre octobre 2020 et janvier 2021, ce malware se contentait de modifier le fichier HOSTS de ses victimes pour les empêcher d'aller sur The Pirate Bay et ses miroirs.

Un malware… original

L'auteur du rapport, Andrew Brandt, l'a décrit comme « l'un des cas les plus étranges que j'ai vus depuis un certain temps ». Il serait difficile de lui donner tort tant nous sommes habitués à des malwares dont la fonction première est de voler des données personnelles et autres identifiants de connexion. Mais celui-là est un cas particulier puisqu'il cherche à empêcher ses victimes de télécharger illégalement.

Ce malware est distribué de deux façons. La première part du logiciel de messagerie Discord , où il est envoyé sous la forme d'un simple exécutable censé être une version crackée d'un jeu ou d'un logiciel. La deuxième passe par les sites de piratage classiques, où il se présente sous la forme d'un dossier qui contient l'exécutable ainsi que d'autres dossiers et fichiers afin de lui donner l'apparence d'un torrent classique.

Une méthode peu efficace

Une fois l'exécutable lancé, il affiche un faux message d'erreur indiquant que le logiciel n'a pas pu être installé à cause d'un fichier .dll manquant. Par la suite, il contacte un site web appartenant à l'attaquant et lui envoie le nom du fichier que la victime tente de télécharger ainsi que son adresse IP. Il récupère aussi un deuxième malware, qui s'occupe de modifier le ficher HOSTS. Ces modifications servent à empêcher la victime d'accéder principalement à The Pirate Bay, en la redirigeant automatiquement vers son localhost dès qu'elle essaie d'y accéder.

La méthode n'est pas très efficace puisqu'il suffit de supprimer ces lignes de son fichier HOSTS pour pouvoir accéder de nouveau aux sites. Le plus gros risque est que les informations récupérées par l'attaquant puissent être envoyées à des organismes gouvernementaux ou à des fournisseurs d'accès internet, ou encore être utilisées dans de futures campagnes d'extorsion, en tant que chantage.

D'après Andrew Brandt, cette campagne de malware était active entre octobre 2020 et janvier 2021, moment où le site de l'attaquant a été mis hors ligne.

Modifié le 20/06/2021 à 15h35
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
14
Voir tous les messages sur le forum

Lectures liées

Derrière une jeune femme, Marcella Flores, se cachaient des hackers affiliés à l'Iran
Bon plan antivirus : protégez votre vie numérique avec cette offre de Bitdefender à prix jamais vu !
Pourquoi Apple est-elle impuissante face à des logiciels tels que Pegasus ?
Cyberattaque : la France est dans le viseur de hackers chinois
Profitez des offres VPN à prix bradé du moment
Sauvegarde et anticipation : les clés pour se protéger des ransomwares cet été (Vidéo)
Projet Pegasus : pour Edward Snowden, il faut bannir tous les logiciels d'espionnage
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Projet Pegasus : un logiciel espion israélien
Microsoft en cours d'acquisition de RiskIQ, spécialiste de la cyber-sécurité pour $500 millions
Haut de page