Uma equipe da empresa de segurança Sophos descobriu um novo malware que age de forma incomum e tem um único propósito: impedir que o usuário faça o download de softwares piratas.
A infecção do "malware vigilante" é ativada quando a vítima faz o download de um executável falso que se disfarça do instalador de um game popular, como Among Us ou Minecraft.
O disfarce como instalador de jogos populares.Fonte: Sophos
Esses arquivos estariam hospedados em servidores no Discord ou em softwares de compartilhamento peer-to-peer (P2P).
Uma vez ativado, em uma operação que gera uma falsa janela de erro no PC, a principal atividade do malware é modificar o arquivo "hosts" do Windows, responsável por mapear nomes de servidores e conectá-los a endereços de IP.
Alguns dos arquivos baixados no pacote do malware.Fonte: Sophos
Só que ele não tenta mandar você para páginas falsas, roubar credenciais ou sequestrar e criptografar os seus arquivos. No lugar, ele utiliza certificados digitais falsos para ser autenticado e simplesmente impede que você tente acessar novas páginas dedicadas ao download ilegal de arquivos, como sites de torrent e outros domínios conhecidos por abrigarem pirataria.
Desconfiar nunca é demais
Apesar de parecer inofensivo em um primeiro momento e fazer modificações no sistema que tecnicamente protegem um usuário, nada impede que novas versões da ameaça sejam capazes de promover atividades criminosas nas máquinas infectadas ou roubar dados. O malware ainda precisa ser melhor estudado e compreendido para revelar todos os seus objetivos.
Vários dos domínios bloqueados são relacionados ao The Pirate Bay.Fonte: Sophos
Segundo a Sophos, caso você tenha sido infectado com o malware, é possível remover a sua atividade ao abrir o arquivo "hosts" em c:\Windows\System32\Drivers\etc\hosts com o Bloco de notas, executando o software como Administrador. O ideal é excluir linhas de código que comecem com a versão "127.0.0.1" e menções a sites de pirataria.
Fontes