🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Este extraño malware te impide acceder a sitios de software pirateado

El objetivo de la mayoría de los programas maliciosos es obtener algún tipo de beneficio, financiero o de otro tipo, para los atacantes que los utilizan. Sin embargo, investigadores observaron recientemente un malware único con una única intención. El malware bloquea las computadoras infectadas para que no visiten sitios web dedicados a la piratería de software.

El malware que el investigador de SophosLabs, Andrew Brandt, llamó “uno de los casos más extraños visto en mucho tiempo” funciona de manera sencilla.  Una vez que infecta el dispositivo, el malware modifica el archivo HOSTS. Es un “método tosco pero eficaz para evitar que una computadora acceda a una dirección web”, afirmó.

Archivo HOST

El archivo HOSTS es una parte integral del sistema operativo Windows utilizado para asignar direcciones IP a nombres de host o nombres de dominio. De esta manera, aparentemente actúa como un servicio DNS local para una computadora. Este puede anular las asignaciones del servicio DNS de la red a la que está conectada la computadora.

Sin embargo, debido a que el malware no tiene un mecanismo de persistencia, cualquier usuario infectado puede solucionar fácilmente el efecto que tiene en una computadora local. El usuario puede solucionarlo eliminando las entradas afectadas después de que se hayan agregado al archivo HOSTS. Estos archivos “permanecerán eliminados”, a menos que, por supuesto, el sistema se infecte con el malware por segunda vez.

Brandt reconoció al gerente senior de investigación de amenazas de la empresa Richard Cohen por identificar el “extraño malware”.

“Este parece ser un truco nuevo en un antiguo ataque de personas comprometidas que intentan descargar software y archivos multimedia pirateados. En este caso, sin embargo, parece ser un individuo o grupo que intenta proteger la propiedad intelectual. Empero no se equivoquen, esto sigue siendo claramente un comportamiento criminal. Esto me recuerda el escándalo de los rootkits de Sony hace una década. Y, muestra que los grupos antipiratería aún no han aprendido que otras personas también tienen derechos”.

John Bambenek, asesor de inteligencia de amenazas en Netenrich. 

Engañar a los aspirantes a piratas de software

Los atacantes utilizaron varios medios para distribuir el malware de manera que atrajera la atención de ciertas personas. El malware atrajo la atención de personas que tienden a utilizar sitios populares de torrents para piratear software. 

Un método de distribución fue utilizar el servicio Discord para alojar el malware. Ahí disfrazaron astutamente el malware como copias pirateadas de varios paquetes de software.

Los investigadores observaron que distribuyeron otras copias a través de Bittorrent que también llevaban el nombre de descargas pirateadas populares. Por ejemplo, juegos, herramientas de productividad e incluso productos de seguridad, acompañadas de archivos adicionales. Los archivos hacían que el malware pareciera haberse originado en una conocida cuenta de intercambio de archivos en ThePirateBay.

Los archivos que parecen estar alojados en el intercambio de archivos de Discord tienden a ser archivos ejecutables solitarios. Los que se distribuyen a través de Bittorrent se han empaquetado de una manera que se asemeja más a la forma en que el software pirateado se comparte típicamente con ese protocolo. Es decir, se agregan a un archivo comprimido que también contiene un archivo de texto y otros archivos auxiliares. Además, contienen un acceso directo que apunta a ThePirateBay.

Funcionamiento del malware

Si una persona descarga y ejecuta software infectado, se le bloqueará inmediatamente el acceso al archivo. Esto gracias a la “breve” experiencia de usuario final que ofrece el malware.

Si haces doble clic, el software infectado genera un “mensaje de error falso”. El mensaje informa al usuario que el programa no puede iniciarse porque falta un archivo, “MSVCR100.dll” en su computadora. También le sugiere al usuario que intente reinstalar el programa para solucionar el problema.

El malware también comprueba un sistema infectado para ver si puede establecer una conexión de red saliente. Y, si puede, intenta ponerse en contacto con un URI en el dominio “1flchier[.]com”.

El dominio parece ser un clon typosquat del proveedor de almacenamiento en la nube 1fichier. El dominio está escrito con una ‘L’ como tercer caracter en el nombre en lugar de una ‘I’.

Payload de malware secundario

Si se establece contacto con el sitio web, el malware envía un payload secundario, un ejecutable llamado ProcessHacker.jpg. El payload realiza varias funciones más para evitar que el sistema infectado ejecute software pirateado.

En algunas muestras observadas, una de las características era un interruptor de apagado. El interruptor busca un par de nombres de archivo muy específicos en cualquiera de las ubicaciones definidas por la variable de entorno “%PATH%”. Esto hace que hace que el software deje de funcionar si encuentra ambos.

ProcessHacker.jpg también modifica el archivo HOSTS cuando se le otorgan privilegios de administrador.  La mayoría de las muestras examinadas por Sophos lo hicieron al pedirle a Windows la elevación de privilegios, que otorgó.

Los investigadores no pudieron identificar la procedencia del malware. No obstante, dijeron que se puede detectar a través de detecciones de puntos finales identificando el empaquetador de tiempo de ejecución utilizado con él. Ellos identificaron a Mal/EncPk-APV, que casualmente es el mismo utilizado por la familia de malware no relacionada Qbot.

Eliminación del malware

Para limpiar el archivo HOSTS manualmente en los sistemas infectados, los usuarios deben ejecutar una copia de Notepad con privilegios (como administrador) y modificar el archivo en c:\Windows\System32\Drivers\etc\hosts. Esto para eliminar todas las líneas que comienzan con “127.0.0.1” y que hacen referencia a los diversos sitios de ThePirateBay (y otros), dijo. También puedes encontrar más información sobre el malware en la página de GitHub de Sophos.

Como siempre, el software pirateado suele ser una puerta de entrada al malware, como han advertido los investigadores durante décadas.

Es muy común que dentro del software pirateado se escondan características no deseadas, como ladrones de contraseñas o puertas traseras ocultas. Estas permiten a los ciberdelincuentes acceder fácilmente a tus dispositivos. 

La mayoría del software pirateado es alterado por ciberdelincuentes para ayudar a encontrar formas de ganar dinero. Por ejemplo, para vender credenciales robadas o acceso para delincuentes malintencionados que despliegan ransomware. Por ello, si eres un usuario de software pirateado, debes tener mucho cuidado para no ser la próxima víctima de un ataque cibernético.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información