Seorang peneliti keamanan telah menemukan penemuan yang tidak biasa dalam sejarah. Mereka baru-baru ini menemukan sebuah malware yang menipu pengunduh dan mencoba mencegah pengunduhan aplikasi atau game yang tidak sah di masa mendatang.
Para peneliti keamanan mengatakan bahwa malware yang bernama Vigilante tersebut dapat ditemukan di sebuah situs yang sering dikunjungi oleh para pengguna komputer yang mencari perangkat bajakan. Tentu saja, hal ini membuat banyak pihak bingung.
Saat malware ini berjalan, program tersebut memodifikasi file HOSTS komputer dan mengisi dengan banyak situs yang secara khusus dikenal telah melakukan aktivitas ilegal. Kemudian aplikasi ini dan mengarahkan ulang ke alamat IP localhost 127.0.0.1.
Selain itu, malware melaporkan file yang dieksekusi ke server yang dikendalikan oleh hacker, bersama dengan alamat IP komputer korban. Untuk sentuhan akhir, Vigilante mencoba memodifikasi komputer korban agar tidak bisa mengakses thepiratebay.com dan situs bajakan lainnya.
“Sangat tidak biasa melihat sesuatu seperti ini karena biasanya hanya ada satu motif di balik kebanyakan malware, yaitu mencuri barang,” ujar Brandt di akun Twitter-nya.
Ok, so, this story is a journey https://t.co/5U9pwGZJ3c
— Accountability Brandt (@threatresearch) June 17, 2021
Setelah korban mengeksekusi file trojan, file dan alamat IP dikirim dalam bentuk HTTP GET ke 1flchier.com yang dikendalikan hacker yang dapat dengan mudah dikacaukan dengan penyedia penyimpanan cloud lainnya.
Hal ini dikarenakan sebuah malware dalam file sebagian besar identik kecuali untuk nama file yang dihasilkannya dalam permintaan web.
Vigilante akan terus memperbarui file di komputer yang terinfeksi untuk mencegahnya terhubung ke The Pirate Bay dan situs aplikasi bajakan lainnya. Faktanya, malware ini memperbarui host dan file yang memasangkan satu atau lebih alamat domain ke alamat IP yang berbeda.
Dengan memetakan domain ke host lokal, Vigilante akan memastikan dengan sendirinya bahwa komputer tidak dapat lagi mengakses situs tertentu. Cara untuk membalikkan pemblokiran seperti semula yaitu dengan mengedit file Host dan menghapus alamat situs yang diblokir.
Keanehan lainnya ditandai dengan banyak executable trojan yang ditandatangani secara digital menggunaan kode palsu. Selain itu, lembar properti dari file yang dapat dieksekusi tidak sesuai dengan nama file.
