Un malware empêche ses victimes d’aller sur des sites de téléchargement illégal

Publié le 20 juin 2021 à 15h35

Dans un rapport, SophosLab a indiqué avoir appris l'existence d'un malware destiné à empêcher ses victimes de télécharger illégalement.

Actif entre octobre 2020 et janvier 2021, ce malware se contentait de modifier le fichier HOSTS de ses victimes pour les empêcher d'aller sur The Pirate Bay et ses miroirs.

Un malware… original

L'auteur du rapport, Andrew Brandt, l'a décrit comme « l'un des cas les plus étranges que j'ai vus depuis un certain temps ». Il serait difficile de lui donner tort tant nous sommes habitués à des malwares dont la fonction première est de voler des données personnelles et autres identifiants de connexion. Mais celui-là est un cas particulier puisqu'il cherche à empêcher ses victimes de télécharger illégalement.

Ce malware est distribué de deux façons. La première part du logiciel de messagerie Discord, où il est envoyé sous la forme d'un simple exécutable censé être une version crackée d'un jeu ou d'un logiciel. La deuxième passe par les sites de piratage classiques, où il se présente sous la forme d'un dossier qui contient l'exécutable ainsi que d'autres dossiers et fichiers afin de lui donner l'apparence d'un torrent classique.

Une méthode peu efficace

Une fois l'exécutable lancé, il affiche un faux message d'erreur indiquant que le logiciel n'a pas pu être installé à cause d'un fichier .dll manquant. Par la suite, il contacte un site web appartenant à l'attaquant et lui envoie le nom du fichier que la victime tente de télécharger ainsi que son adresse IP. Il récupère aussi un deuxième malware, qui s'occupe de modifier le ficher HOSTS. Ces modifications servent à empêcher la victime d'accéder principalement à The Pirate Bay, en la redirigeant automatiquement vers son localhost dès qu'elle essaie d'y accéder.

La méthode n'est pas très efficace puisqu'il suffit de supprimer ces lignes de son fichier HOSTS pour pouvoir accéder de nouveau aux sites. Le plus gros risque est que les informations récupérées par l'attaquant puissent être envoyées à des organismes gouvernementaux ou à des fournisseurs d'accès internet, ou encore être utilisées dans de futures campagnes d'extorsion, en tant que chantage.

D'après Andrew Brandt, cette campagne de malware était active entre octobre 2020 et janvier 2021, moment où le site de l'attaquant a été mis hors ligne.

Sources : BleepingComputer, SophosLab

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Piratage

Malware / Ransomware

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Squeak

Ca ressemble vraiment à quelque chose fait par qui veut se protéger du piratage (des artistes? des éditeurs de jeux?..) car ici cela n’a aucun intérêt pour un pirate.

Le niveau technique est proche de zéro, il existe d’autres méthodes plus poussées si vraiment on veut aller dans cette direction. Il y a bel et bien des malwares créés par des agences gouvernementales qui vont beaucoup plus loin que ça…

Squeak

Il suffit que le code « malveillant » soit livré comme un package d’installation classique (qui affiche donc la fenêtre demandant l’élévation de privilèges) et hop! un utilisateur peu averti s’y fait prendre. On pourrait aussi se dire que ça passe inaperçu comme modification : l’utilisateur ne saura pas accéder au site mais pensera-t-il à aller vérifier son fichier hosts? Ca peut être efficace pour certains groupes d’utilisateurs pas forcément très au courant de la chose…

tangofever

Une liste de ces adresses à bloquer dans le fichier hosts ?

TheLoy

Ou un autre site du genre qui cherche à mettre des batons dans les roues de la concurrence…

rexxie

Tu parles des requins de distributeurs qui ne laissent que des miettes aux auteurs là ?

calude_vincent

Malware blanc, le defonceur de La Défense des droits d’auteurs

SPH

Etrange affaire…

benben99

Un malware fait par une racaille pour nuire aux racaille qui volent le travail des ayants-droits. LOL

Gizmo64

C’est plutôt cocasse comme situation mine de rien

Blap

The Pirate Bay ne s’est jamais arrêté, ca reste une valeur sure pour plein de médias. Les packs de series completes sont notamment tres facile a trouver.