보안정보

The Pirate Bay와 같은 사이트에서 멀웨어는 readme 파일, NFO 파일 및 thepiratebay.org로 돌아가는 바로 가기 파일이 포함되어 있다는 점에서 다른 토렌트 파일과 유사한 방식으로 배포되고 있다.

그러나 이러한 토렌트 아카이브에 포함된 많은 파일은 목적이 없으며 일반적인 불법 복제 소프트웨어/영화 토렌트로 가장하기 위한 필러로만 추가된다.

"설치 프로그램과 함께 번들로 제공되는 이러한 파일을 더 자세히 살펴보면 아카이브에 일반적으로 Bittorrent를 통해 공유되는 파일의 모양을 제공하고 임의 데이터를 추가하여 해시 값을 수정하는 것 외에 실질적인 이점이 없습니다."라고 Brandt는 말한다.

사용자가 악성 코드 실행 파일을 실행하면 Windows HOSTS 파일을 수정하여 The Pirate Bay와 관련된 사이트에 대해 127.0.0.1을 가리키는 수많은 항목을 추가한다.

[그림3. 악성코드에 의해 수정된 HOSTS 파일]

이러한 HOSTS 항목을 추가한 후 사용자가 나열된 사이트 중 하나에 액세스하려고하면 대신 로컬 호스트로 리디렉션되고 사이트의 실제 IP 주소에 연결할 수 없게된다.

이는 저작권 보호 콘텐츠를 배포하는 사이트에 대한 액세스를 효과적으로 차단한다.

자경단 멀웨어가 실행되면 공격자가 제어하는 ​​원격 호스트에 연결하여 사용자를 감염시킨 가짜 불법 복제 소프트웨어의 이름을 전송한다.

웹 서버는 일반적으로 방문자의 IP 주소를 기록하기 때문에 공격자는 이제 불법 복제 사이트의 IP 주소와 그들이 사용하려는 소프트웨어 또는 영화의 이름을 모두 갖게된다.

이 정보가 어떤 용도로 사용되는지는 알 수 없지만 위협 행위자는 이를 ISP,저작권 기관 또는 법 집행 기관과 공유 할 수 있다.

공격자는 또한 이메일 강탈 캠페인과 같은 추가 공격에 이 정보를 사용할 수 있다.

혹은 공격자가 몸값을 요구할 때 이를 지불하지 않으면 사용자의 불법 활동을 공개하겠다고 위협할 가능성 또한 존재한다.

Brandt는 공격자의 사이트가 오프라인이 된 2020년 10월과 2021년 1월 사이에 이 멀웨어 캠페인이 진행되었다고 말한다.

그에 따르면 해당 악성 토렌트는 사용자가 파일이 악의적이거나 가짜라는 사실을 알게 된 후 시드를 중단하고 배포를 중단했다.

드물지만, 비슷한 사례로 과거에 Netgear를 해킹하여 악성코드를 제거하고 악성코드를 IoT 장치에 배포하거나 무기화된 버전을 공개했었다.

출처

https://www.bleepingcomputer.com/news/security/vigilante-malware-blocks-victims-from-downloading-pirated-software/