Un malware empêche ses victimes d’aller sur des sites de téléchargement illégal

20 juin 2021 à 15h35
17
© Pirate Bay
© Pirate Bay

Dans un rapport, SophosLab a indiqué avoir appris l'existence d'un malware destiné à empêcher ses victimes de télécharger illégalement.

Actif entre octobre 2020 et janvier 2021, ce malware se contentait de modifier le fichier HOSTS de ses victimes pour les empêcher d'aller sur The Pirate Bay et ses miroirs.

Un malware… original

L'auteur du rapport, Andrew Brandt, l'a décrit comme « l'un des cas les plus étranges que j'ai vus depuis un certain temps ». Il serait difficile de lui donner tort tant nous sommes habitués à des malwares dont la fonction première est de voler des données personnelles et autres identifiants de connexion. Mais celui-là est un cas particulier puisqu'il cherche à empêcher ses victimes de télécharger illégalement.

Ce malware est distribué de deux façons. La première part du logiciel de messagerie Discord, où il est envoyé sous la forme d'un simple exécutable censé être une version crackée d'un jeu ou d'un logiciel. La deuxième passe par les sites de piratage classiques, où il se présente sous la forme d'un dossier qui contient l'exécutable ainsi que d'autres dossiers et fichiers afin de lui donner l'apparence d'un torrent classique.

Une méthode peu efficace

Une fois l'exécutable lancé, il affiche un faux message d'erreur indiquant que le logiciel n'a pas pu être installé à cause d'un fichier .dll manquant. Par la suite, il contacte un site web appartenant à l'attaquant et lui envoie le nom du fichier que la victime tente de télécharger ainsi que son adresse IP. Il récupère aussi un deuxième malware, qui s'occupe de modifier le ficher HOSTS. Ces modifications servent à empêcher la victime d'accéder principalement à The Pirate Bay, en la redirigeant automatiquement vers son localhost dès qu'elle essaie d'y accéder.

La méthode n'est pas très efficace puisqu'il suffit de supprimer ces lignes de son fichier HOSTS pour pouvoir accéder de nouveau aux sites. Le plus gros risque est que les informations récupérées par l'attaquant puissent être envoyées à des organismes gouvernementaux ou à des fournisseurs d'accès internet, ou encore être utilisées dans de futures campagnes d'extorsion, en tant que chantage.

D'après Andrew Brandt, cette campagne de malware était active entre octobre 2020 et janvier 2021, moment où le site de l'attaquant a été mis hors ligne.

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (17)

Squeak
Ca ressemble vraiment à quelque chose fait par qui veut se protéger du piratage (des artistes? des éditeurs de jeux?..) car ici cela n’a aucun intérêt pour un pirate.<br /> Le niveau technique est proche de zéro, il existe d’autres méthodes plus poussées si vraiment on veut aller dans cette direction. Il y a bel et bien des malwares créés par des agences gouvernementales qui vont beaucoup plus loin que ça…
Squeak
Il suffit que le code «&nbsp;malveillant&nbsp;» soit livré comme un package d’installation classique (qui affiche donc la fenêtre demandant l’élévation de privilèges) et hop! un utilisateur peu averti s’y fait prendre. On pourrait aussi se dire que ça passe inaperçu comme modification : l’utilisateur ne saura pas accéder au site mais pensera-t-il à aller vérifier son fichier hosts? Ca peut être efficace pour certains groupes d’utilisateurs pas forcément très au courant de la chose…
tangofever
Une liste de ces adresses à bloquer dans le fichier hosts ?
TheLoy
Ou un autre site du genre qui cherche à mettre des batons dans les roues de la concurrence…
rexxie
Tu parles des requins de distributeurs qui ne laissent que des miettes aux auteurs là ?
calude_vincent
Malware blanc, le defonceur de La Défense des droits d’auteurs
SPH
Etrange affaire…
benben99
Un malware fait par une racaille pour nuire aux racaille qui volent le travail des ayants-droits. LOL
Gizmo64
C’est plutôt cocasse comme situation mine de rien
Blap
The Pirate Bay ne s’est jamais arrêté, ca reste une valeur sure pour plein de médias. Les packs de series completes sont notamment tres facile a trouver.
Blap
Je vois plusieurs centaines, et parfois plus de 1000 sur les fichiers que je recherche. L’important de toutes façon c’est le ratio et que le fichier arrive, et ca ne prend que quelques minutes
twenty94470
Ils se sont dit «&nbsp;c’est trop simple&nbsp;» et si on rajoutait un système de dll manquante qui indique au pirate d’aller sur un site pour la récupérer et en la récupérant il se chope la modification du fichier host
Pretarian
Ça ressemble à un ballon d’essai. D’ici quelques mois on va voir arriver un variant avec un payload bien plus virulent amha
Voir tous les messages sur le forum