海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事、 TorrentFreakの記事、 HackRead の記事、 Ars Technica の記事)。
Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージを表示し、バックグラウンドで処理が行われる。処理の内容としては、キルスイッチとみられるファイル名やレジストリ値の検索を行い、見つかればそこで処理を終了し、見つからなければ hosts ファイルの書き換えを行う。
また、インターネットに接続している場合はファイル共有サービス 1fichier のタイポスクワッティングサイトに接続して「ProcessHacker.jpg」という名前の実行ファイルをダウンロードするほか、マルウェアのファイル名を送信する。ただし、このサイトは既にアクセスできなくなっているとのこと。マルウェアの圧縮ファイルにはハッシュ値を変えて別ファイルとして配布するためのデータが同梱されている。.nfo という拡張子のファイルには先頭1,150バイトをゴミデータで埋めた後に人種差別的表現が1,000回以上繰り返されているそうだ。
hosts ファイルに追加されるエントリは ThePirateBay など数100~1,000件以上の海賊版サイトドメインを localhost アドレスの127.0.0.1に割り当てるものだ。ただし、マルウェアが常駐することはなく、ユーザーが hosts ファイルの変更を元に戻した場合、再びマルウェアを実行しない限り攻撃が続くことはない。Sophos の Andrew Brandt 氏は10年以上前に同様のマルウェアを発見しているが、そこから特に進化した様子は見られないとのことだ。
| YROセクション
| セキュリティ
| 海賊行為
| idle
|
関連ストーリー:
Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出
2020年08月07日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた
2018年04月08日
フライトシミュレーターのアドオンにマルウェア、開発元は海賊版対策だと説明
2018年02月22日
Symantec、Torrentユーザーをセキュリティリスクから保護するシステムの特許を取得
2017年06月10日
ストリートファイターVのアップデートで追加された不正防止対策がルートキットのようだと批判される
2016年09月25日
米司法省が差し押さえていたはずのMegaupload関連ドメイン、サイバー犯罪者に悪用される
2015年05月30日
米エンターテインメント業界、海賊版撲滅のためルートキットの使用合法化を求める
2013年05月29日
作業に集中するために、自主的にサイトブロックする「なまけWebごろし」
2011年07月22日
3/10のWindows Defender更新でhostsが書き換えられる!?
2009年03月11日
Source: スラッシュドット
