Vigilante Malware

Per Definition sind Malware-Bedrohungen darauf ausgelegt, schändliche Aktivitäten auszuführen. Verschiedene Cyberkriminelle haben unterschiedliche Ziele - die ahnungslosen Benutzer auszuspionieren, sensible Daten zu stehlen und sie dann auf einen Remote-Server hochzuladen, gedrückte Tasten zu erfassen, um Anmelde- oder Zahlungsinformationen zu erhalten, die Ressourcen des infizierten Geräts zu kapern und sie dann zum Schürfen von Krypto- Coins ausnutzen oder die Verschlüsselung der Benutzerdaten und die Forderung nach einem Lösegeld für deren Wiederherstellung. Die Vigilante-Malware ist jedoch etwas anders. Tatsächlich hat es mit den oben beschriebenen Malware-Bedrohungen wenig gemein. Dieser spezielle Trojaner wurde entwickelt, um Menschen anzugreifen, die Raubkopien herunterladen und dann ihre Computer daran hindern, die Adressen von über 1000 Torrent-Trackern und Download-Plattformen zu öffnen.

Die Vigilante-Malware infiziert ihre Opfer, indem sie sich in Softwarepaketen versteckt, die über einen Discord-Chat-Dienst verteilt werden, oder indem sie sich als mehrere beliebte Spiele, Software-Tools und Sicherheitsprodukte tarnt, die über BitTorrent erhältlich sind. Um die Größe des beschädigten Archivs künstlich zu erhöhen, enthält es außerdem nicht funktionsfähige Dateien beliebiger Länge. Die bewaffneten ausführbaren Dateien werden mit einem gefälschten Codesignatur-Tool signiert, wobei das generierte Zertifikat 2039 abläuft.

Seine besondere Funktionalität

Sobald sich die Bedrohung auf das Gerät des Benutzers eingeschlichen hat, ermittelt sie den Namen der ausgeführten Datei sowie die IP-Adresse des Systems und meldet sie in Form einer HTTP-GET-Anfrage an den Server des Angreifers. Die Adresse des Servers wurde bewusst gewählt, um den 1fichier Cloud-Speicheranbieter nachzuahmen.

Vigilante ist dann bereit, zu seiner Kernfunktionalität überzugehen. Die Bedrohung fährt fort, die HOSTS-Datei des kompromittierten Systems zu ändern. Es fügt die Adressen von tausend Internet-Sites hinzu, die häufig mit der Lieferung von Raubkopien in Verbindung gebracht werden, wie zum Beispiel den beliebten Torrent-Tracker Pirate Bay und viele seiner Proxys. Jede in die HOSTS-Datei eingefügte Domäne wird zugewiesen, die IP-Adresse 127.0.0.1 zu öffnen - eine reservierte IP-Adresse, die ein Computersystem verwendet, um auf sich selbst zu verweisen. In der Praxis gelangen Anfragen an diese Adresse nicht ins Internet, sondern werden an das System zurückgeleitet. Opfer von Vigilante-Malware können keine der anvisierten Websites erreichen.

Die Auswirkungen der Malware können leicht rückgängig gemacht werden. Schließlich hat die Vigilante-Malware nicht die Fähigkeit, einen Persistenzmechanismus auf den infizierten Systemen einzurichten. Die Opfer können einfach ihre HOSTS-Datei bereinigen und alles wird wieder normal.