Quand un malware vous empêche d’accéder aux sites pirates

ZT-ZA, YggTorrent et tous les autres ne répondent plus, même après voir changé vos DNS ? Il est possible que vous soyez infecté par ce tout nouveau malware repéré par les chercheurs de Sophos. Un malware au fonctionnement très étrange et qui vise tout simplement à bloquer les sites web consacrés au piratage.

La découverte a été relatée par Sophos la semaine dernière. En surveillant les malwares, un ingénieur du laboratoire de l’éditeur a mis au jour une toute nouvelle campagne… assez originale.

Un clavier d'ordinateur
Crédits Pixabay

Une campagne radicalement différente de celles qui circulent habituellement sur Internet.

Un malware qui bloque les sites pirates

Bien que les motivations peuvent varier d’une équipe de hackers à une autre, les campagnes de malwares lancées sur Internet ont à peu de choses près toujours le même objectif : voler les données des utilisateurs. Les voler, ou les bloquer afin de pouvoir ensuite demander une rançon.

Ce n’est cependant pas le cas de cette nouvelle campagne découverte par les ingénieurs de Sophos. Plutôt que de chercher à voler les données des internautes, cette dernière s’en prend directement à leur fichier hosts.

Si vous ne le connaissez pas, alors il peut être utile de rappeler que le fichier hosts est utilisé par le système d’exploitation lorsque l’ordinateur accède à un réseau. Cela vaut bien entendu pour le réseau local, mais aussi pour Internet. Lorsqu’une connexion est demandée, le système commence par parcourir ce fichier pour voir si l’IP demandée y est inscrite.

Le fichier hosts pris pour cible

L’intérêt de la chose ? Ce fichier permet de filtrer certaines adresses IP et donc de bloquer l’accès à certains contenus.

Ce qui nous amène précisément à cette nouvelle campagne de malware. Plutôt que de s’en prendre au système dans son intégralité, le logiciel développé pour l’occasion s’attaque directement au fichier hosts du système… et ajoute des entrées.

En tout et d’après les informations communiquées par les chercheurs à l’origine de la découverte, le programme ajoutera entre quelques centaines et plus d’un millier de domaines au fichier hosts, pour les rediriger vers le localhost et donc vers l’ordinateur de l’internaute.

Un malware diffusé sur Discord et BitTorrent

Il y a plus intéressant cependant. En analysant ces domaines, les chercheurs ont découvert que les adresses bloquées renvoyaient toutes vers des sites pirates, et même vers certaines plateformes d’hébergement comme 1fichier. Des sites comme ThePirateBay sont aussi concernés.

Pour diffuser ce malware, ses concepteurs s’appuieraient sur de fausses copies pirates de jeux et d’application. Des copies circulant notamment sur Discord ou BitTorrent.

Pour l’heure, Sophos n’a pas réussi à déterminer l’identité de la ou des personnes à l’origine de ces campagnes. Toutefois, si vous n’arrivez plus à accéder à certains sites, il pourra être utile de vérifier votre fichier hosts afin de vous assurer qu’il ne présente pas de modifications de ce type.

Mots-clés malware