Cyberthreat.id – Pembuat malware satu ini berbeda dengan lainnya. Ia membuat dan mendistribusikan malware, justru untuk memblokir perangkat pengguna yang terinfeksi mengakses situs web software bajakan, seperti The Pirate Bay.

Aksi tersebut ditemukan oleh peneliti perusahaan keamanan siber SophosLab. “Dalam satu kasus paling aneh yang pernah saya lihat, salah satu rekan lab saya baru-baru ini memberitahu saya tentang aksi malware yang bertujuan, tampaknya, menyimpang dari motif malware umumnya,” jelas peneliti utama SophosLab Andrew Brandt, dikutip dari BleepingComputer, diakses Jumat (18 Juni 2021).

Menurut dia, alih-alih mencuri kata sandi atau memeras pemilik komputer untuk mendapatkan uang tebusan karena berhasil menginfeksi perangkat, malware itu justru memblokir komputer korban agar tak dapat mengunjungi sejumlah besar situs web penyedia software bajakan.

Padahal, umumnya malware didistribusikan melalui software bajakan dan situs web crack palsu. Metode ini yang biasa dipakai untuk menyebarkan trojan, ransomware, atau cryptominer yang ujung-ujungnya melakukan spionase siber atau pencurian informasi di mesin korban.

Menurut Brandt, malware baru itu sempat ramai didistribusikan melalui aplikasi Discord atau situs web torrent perangkat lunak bajakan.

Di Discord, aplikasi pesan daring yang biasa dipakai para gamer, malware didistribusikan sebagai file .exe mandiri yang berpura-pura sebagai software bajak, seperti berikut ini:

---

---

Sementara di situs web The Pirate Bay, malware didistribusikan dengan cara mirip dengan file torrent lain, seperti berisi file readme, file NFO, dan file shortcut kembali ke thepiratebay.org.

“Melihat file-file yang dibundel dengan installer, tampaknya tidak memiliki manfaat praktis selain memberikan tampilan arsip file yang umumnya dibagikan melalui Bittorrent,” kata Brandt.

Ia mengatakan, ketika pengguna menginstal file .exe, malware selanjutnya bekerja memodifikasi file Windows HOSTS untuk menambahkan banyak entri yang mengarah ke 127.0.0.1 untuk situs yang terkait dengan The Pirate Bay.

Setelah itu, ketika pengguna mencoba mengakses salah satu situs yang terdaftar, mereka akan dialihkan ke localhost dan tidak dapat terhubung ke alamat IP situs web sebenarnya.

Lebih buruk lagi, ketika malware itu diinstal, perangkat lunak itu justru akan terhubung ke host di bawah kendali penyerang dan mengirim nama software bajakan palsu yang telah menginfeksi pengguna.

Karena server web biasanya mencatat alamat IP pengunjung, penyerang sekarang memiliki alamat IP pengunduh juga nama software atau film yang diunduh.

Meskipun tidak diketahui untuk apa informasi ini digunakan, pelaku ancaman dapat membagikannya dengan ISP, badan hak cipta, atau bahkan penegak hukum, tulis BleepingComputer.

Penyerang juga dapat menggunakan informasi itu dalam serangan lebih lanjut, seperti kampanye pemerasan email, di mana penyerang mengancam untuk mengungkapkan aktivitas ilegal pengguna jika mereka tidak membayar permintaan pemerasan kecil.

Brandt mengatakan operasi malware itu aktif antara Oktober 2020 hingga Januari 2021. Saat ini, malware telah berhenti didistribusikan, kemungkinan setelah para pengguna mengetahui bahwa file tersebut berbahaya atau palsu.[]