Os investigadores Kaspersky detetaram um pacote malicioso invulgar (uma colecção de programas maliciosos distribuídos sob a forma de um único ficheiro de instalação, arquivo auto-extraível ou outro ficheiro com funcionalidade do tipo instalador), visando os jogadores no YouTube. A sua principal carga útil é o extenso RedLine stealer, um dos Trojans mais comuns utilizados para roubar palavras-passe e credenciais de navegadores.
Os cibercriminosos caçam ativamente contas de jogo e recursos informáticos de jogo. Como os peritos da Kaspersky observaram na recente visão geral das ameaças cibernéticas relacionadas com o jogo, o malware do tipo stealer é frequentemente distribuído sob o disfarce de hackers de jogo, fraudes e cracks. Desta vez, os investigadores descobriram outro tipo de atividade maliciosa ligada ao jogo: os atacantes colocaram pacotes envenenados nos canais das vítimas no YouTube, sob o disfarce de conteúdo relacionado com o jogo, juntamente com um link para um arquivo RAR auto-extraível na descrição do vídeo. O arquivo contém vários ficheiros maliciosos - um notório RedLine stealer, entre eles.
O ladrão pode pilhar nomes de utilizador, palavras-passe, cookies, detalhes de cartões bancários e dados de preenchimento automático a partir de navegadores baseados em Chromium- e Gecko-, dados de criptowallets, mensagens instantâneas e clientes FTP/SSH/VPN, bem como ficheiros com extensões particulares a partir de dispositivos. Além disso, o RedLine pode descarregar e executar programas de terceiros, executar comandos em cmd.exe e abrir ligações no navegador padrão. O stealer espalha-se de várias maneiras, incluindo através de e-mails de spam maliciosos e carregadores de terceiros.
Para além da própria carga útil RedLine, o pacote descoberto é de notar pela sua capacidade de auto-propagação. Vários ficheiros, no feixe na descrição, são responsáveis por isso. Recebem vídeos e publicam-nos nos canais do YouTube dos utilizadores infectados, juntamente com os links para um arquivo protegido por palavra-passe. Os vídeos anunciam batoteiros e cracks e fornecem instruções sobre como piratear jogos e software populares. Entre os jogos mencionados estão APB Reloaded, CrossFire, DayZ, Dying Light 2, F1® 22, Farming Simulator, Farthest Frontier, FIFA 22, Final Fantasy XIV, Forza, Lego Star Wars, Osu!, Point Blank, Project Zomboid, Rust, Sniper Elite, Spider-Man, Stray, Thymesia, VRChat e Walken.
Exemplos de vídeos de difusão do pacote |
Uma vez que as próprias vítimas descarreguem o pacote original, o arquivo RAR é auto-extraível. Contém uma série de ficheiros maliciosos, utilitários limpos e um guião para executar automaticamente o conteúdo descompactado. Alguns dos nomes dos ficheiros incluem linguagem explícita.
Conteúdos de um arquivo auto-extraível |
Outro elemento que chamou a atenção dos investigadores, é um mineiro. Faz sentido, uma vez que o principal público-alvo, a julgar pelo vídeo, são os gamers. - É provável que tenham instalados placas de vídeo que possam ser utilizadas para a mineração.
"Os gamers são um dos grupos mais populares visados pelos cibercriminosos. Desta vez os atacantes usaram o conteúdo relacionado com o fgaming como isco para roubar as credenciais das vítimas, bem como a mineração dos seus computadores. O nosso conselho seria escolher cuidadosamente as fontes para saciar a sua sede de jogo e não descarregar quaisquer arquivos suspeitos de contas não fiáveis", comenta Oleg Kupreev, senior security researcher na Kaspersky.
Leia sobre os ataques relacionados com o jogo da Redline na Securelist.
Para se proteger de malware escondido em pacotes de open-source, a Kaspersky recomenda o seguinte:
- Os repositórios open-source permitem a qualquer pessoa publicar os seus próprios pacotes, e nem todos eles são completamente seguros. Por exemplo, os atacantes podem fazer-se passar por pacotes open-source populares alterando uma ou duas letras no nome para enganar o utilizador a pensar que estão a descarregar o pacote genuíno. Por conseguinte, recomendamos que esteja atento e que não trate estes pacotes como se fossem de confiança.
- Em geral, o desenvolvimento ou construção de ambientes são alvos convenientes para os atacantes que tentam organizar ataques na cadeia de abastecimento. Isto significa que tais ambientes requerem urgentemente uma forte proteção antimalware, como a Kaspersky Hybrid Cloud Security.
- Se quiser ser um dos primeiros a saber sobre novas campanhas maliciosas difundidas através do código de open-source, subscreva a feeds e relatórios de ameaças, tais como os fornecidos através do Threat Intelligence Portal.
Post A Comment:
0 comments: