Biasanya malware menyebar lewat aplikasi palsu atau bajakan untuk mencuri data pengguna. Tapi kali ini ada malware aneh yang mencegah korbannya mengunjungi situs tempat download software atau konten bajakan.

Dalam laporan terbarunya, SophosLabs menemukan malware vigilante yang tujuan utamanya adalah untuk melarang pengguna mengakses situs torrent populer, seperti The Pirate Bay.

“Bukannya mencoba mencuri password atau memeras pemilik komputer untuk tebusan, malware ini memblokir komputer pengguna yang terinfeksi agar tidak dapat mengujungi sejumlah situs yang khusus untuk software bajakan dengan memodifikasi file HOSTS di sistem yang terinfeksi,” kata Principal Researcher SophosLabs Andrew Brandt, seperti dikutip dari Bleeping Computer, Jumat (18/6/2021).

Brandt mengatakan malware ini disebarkan lewat Discord atau situs torrent. Ironisnya, malware ini disebarkan di Discord sebagai file .exe yang menyamar sebagai aplikasi populer versi bajakan.

Di situs bajakan seperti The Pirate Bay, malware ini juga menyebar lewat file torrent dengan menyamar sebagai file readme, NFO dan shortcut. Tapi file yang ada di dalam file torrent ini tidak memiliki fungsi apa-apa dan hanya ditambahkan untuk mengelabui pengguna.

Begitu pengguna menjalankan file malware tersebut, file HOSTS yang ada di perangkat Windows akan dibajak dan dimodifikasi dengan menambahkan ribuan situs, terutama yang berkaitan denga torrent dan pembajakan.

Malware ini kemudian memasangkan situs yang terkait dengan The Pirate Bay ke alamat IP khusus 127.0.0.1 atau yang dikenal sebagai localhost. Ini adalah alamat yang dipakai komputer untuk memberikan alamat IP sebenarnya ke sistem lain.

Setelah itu, saat korban ingin mengakses salah satu situs torrent, mereka justru akan diarahkan ke localhost dan tidak bisa terhubung dengan alamat IP situs yang hendak dituju. Akibatnya korban tidak bisa membuka hampir 1.000 situs torrent karena aksesnya telah diblokir.

Tidak hanya itu, malware ini saat dijalankan akan terhubung dengan remote host yang dikontrol oleh si penyerang untuk kemudian memberikan nama aplikasi bajakan yang menginfeksi perangkat korban serta alamat IP-nya. Data ini bisa digunakan untuk serangan selanjutnya, atau penyerang bisa saja memberikannya kepada penegak hukum.

Brandt mengatakan malware ini aktif antara Oktober 2020 dan Januari 2021. Tidak diketahui apa tujuan kreator malware ini yang sebenarnya, dan saat ini situs mereka sudah tidak lagi aktif.

Menurut Brandt, torrent yang berisi malware ini juga sudah tidak disebarkan lagi, mungkin karena banyak pengguna yang menyadari kalau file yang ada di dalamnya palsu. Tapi pengguna internet diminta tetap waspada dan jangan mengunduh aplikasi atau konten bajakan.