Biasanya perisian hasad menyebar melalui aplikasi palsu atau cetak rompak untuk mencuri data pengguna. Tetapi kali ini terdapat sekeping perisian jahat yang menghalang mangsanya daripada mengunjungi laman web yang memuat turun perisian atau kandungan cetak rompak.
Dalam laporan terbarunya, SophosLabs menemui perisian hasad vigilante yang tujuan utamanya adalah untuk melarang pengguna mengakses laman torrent popular, seperti The Pirate Bay.
"Daripada cuba mencuri kata laluan atau memeras pemilik komputer untuk mendapatkan tebusan, perisian hasad ini menyekat komputer pengguna yang dijangkiti agar tidak dapat mengunjungi laman web khusus untuk perisian cetak rompak dengan mengubah fail HOSTS pada sistem yang dijangkiti," kata Penyelidik Utama SophosLabs Andrew Brandt. Komputer, Jumaat (18/6/2021).
Brandt mengatakan malware itu disebarkan melalui laman Discord atau torrent. Ironinya, perisian hasad ini diedarkan di Discord sebagai fail .exe yang menyamar sebagai versi cetak rompak aplikasi popular.
Di laman web cetak rompak seperti The Pirate Bay, perisian hasad ini juga merebak melalui fail torrent yang menyamar sebagai fail readme, NFO dan jalan pintas. Tetapi fail dalam fail torrent ini tidak berfungsi dan hanya ditambahkan untuk menipu pengguna.
Setelah pengguna menjalankan fail malware, fail HOSTS yang terdapat pada peranti Windows akan dirampas dan diubah suai dengan menambahkan ribuan laman web, yang terutama berkaitan dengan torrent dan pembajakan.
Malware ini kemudian memasangkan laman web yang berkaitan dengan The Pirate Bay ke alamat IP khusus 127.0.0.1 atau yang dikenali sebagai localhost. Ini adalah alamat yang digunakan komputer untuk memberikan alamat IP sebenarnya ke sistem lain.
Setelah itu, ketika mangsa ingin mengakses salah satu laman torrent, mereka akan diarahkan ke localhost dan tidak dapat menyambung ke alamat IP dari laman web yang mereka ingin lawati. Akibatnya, mangsa tidak dapat membuka hampir 1,000 laman torrent kerana akses mereka telah disekat.
Bukan hanya itu, malware ini apabila dieksekusi akan menyambung ke host jarak jauh yang dikendalikan oleh penyerang untuk kemudian memberikan nama aplikasi cetak rompak yang menjangkiti peranti mangsa dan alamat IPnya. Data ini dapat digunakan untuk serangan lebih lanjut, atau penyerang dapat menyebarkannya kepada penegak hukum.
Brandt mengatakan perisian hasad itu aktif antara Oktober 2020 dan Januari 2021. Tidak diketahui apakah pencipta asal perisian hasad ini, dan laman web mereka kini tidak lagi digunakan.
Menurut Brandt, torrents yang mengandungi malware ini juga tidak lagi diedarkan, mungkin kerana banyak pengguna telah menyedari bahawa fail yang terdapat di dalamnya adalah palsu. Tetapi pengguna internet diminta untuk tetap waspada dan tidak memuat turun aplikasi atau kandungan cetak rompak.