Todos conhecem os propósitos do malware e a sua forma mais básica de funcionamento. Procuram cifrar e bloquear ficheiros do utilizador, para depois exigir um resgate para que os mesmos possam ser acedidos de forma normal. Há ainda, claro, o roubo de dados do utilizador.
Com esta ideia, surgiu agora um malware completamente diferente do que é habitual. Em vez de bloquear os utilizadores, bloqueia o acesso a sites de pirataria de software, de forma básica, mas ainda assim muito efetiva. É o Vigilante e quer trazer alguma ordem num caos aparente.
O Vigilante, nome dado pela equipa de segurança da Sophos que o descobriu, é algo completamente diferente do habitual no que toca ao malware. Em vez de se dedicar a cifrar e bloquear os ficheiros dos utilizadores, quer impedi-los de aceder a sites de software pirateado.
Do que se sabe, aporta de entrada para este novo ataque parece ser muito software que é obtido de forma ilegal. Presente nestas aplicações durante a instalação, corre sobre um executável que executa vários procedimentos, sendo o primeiro o seu registo no site 1flchier[.]com.
But not in this case. These samples really only did a few things, none of which fit the typical motive for malware criminals.
For one thing, they modify the HOSTS file on the PC to add entries. A lot of entries.
They had a common theme. pic.twitter.com/O1Z2fSXZ1n
— Accountability Brandt (@threatresearch) June 17, 2021
De seguida, e aqui começa a surgir a parte mais interessante do seu processo, limita o acesso do utilizador. Altera o ficheiro HOSTS e coloca dentro deste o registo de centenas de sites conhecidos para a partilha de ficheiros e de software.
A forma de ser eliminado é ela muito simples para qualquer utilizador mais experiente. Bastará abrir o ficheiro HOSTS e remover todas as entradas que estão presentes. De imediato o acesso é reestabelecido e os sites ficam acessíveis.
O próprio Vigilante está criado para não ser persistente. Isso significa que não fica residente no PC da vítima e não volta a alterar o ficheiro de HOSTS. Apenas caso seja novamente executado é que irá voltar a alterar este componente.
Não é clara a origem do malware, mas é clara a sua intenção. Quer impedir as suas vítimas de acederem a sites onde é partilhado software pirata. Curiosamente, este não é a primeira vez que surge malware com esta função, que, na verdade, nunca é bem entendido.