Usuários do YouTube são avisados sobre vídeos que promovem furtivamente um Trojan que rouba senhas
Em abril, os pesquisadores de segurança da Fortinet conversaram sobre uma campanha em andamento que estava espalhando um malware de roubo de informações chamado Predator the Thief. A campanha em questão estava ativa desde pelo menos julho de 2018 e destinava-se a usuários de língua russa. Os operadores de malware haviam comprado o Predator the Thief de seu autor em um fórum de hackers e estavam distribuindo-o com a ajuda de arquivos executáveis cuidadosamente criados, anexados a e-mails e posando como documentos do Word.
É difícil dizer se esse grupo particular de criminosos cibernéticos ainda está espalhando o Predador, o Ladrão. O que sabemos, no entanto, é que atualmente há outra campanha. Ele tem como alvo uma gama muito maior de usuários e usa um vetor de infecção relativamente não convencional.
Índice
Predator the Thief ataca entusiastas de bitcoin que querem ganhar dinheiro rapidamente
O esquema é tão simples quanto inteligente. Tudo o que os bandidos precisam fazer é atrair usuários ingênuos para um vídeo do YouTube e, em seguida, esperar que os espectadores sejam tentados demais pelo esquema de dinheiro por nada para perceber que algo não está certo.
Apesar do fato de toda a campanha ter sido discutida há alguns dias, o vídeo em questão ainda está disponível e acessível a qualquer pessoa. Tendo visto, podemos definitivamente ver por que alguns usuários se apaixonariam por ele. Não é um mero anúncio. É um vídeo instrucional completo de quatro minutos que supostamente mostra como o esquema funciona.
Aparentemente, basta baixar e instalar uma ferramenta e inserir o endereço da carteira que deseja drenar junto com outras informações. O programa faz sua mágica e, algumas horas depois, você tem uma versão criptografada da chave privada mais importante. Descriptografar leva um pouco mais de tempo, mas no final, o vídeo sugere que você será capaz de decolar com os bitcoins de outra pessoa sem quase nenhum esforço.
E você sabe qual é a melhor parte? Há um link para a ferramenta de recuperação de chave privada na descrição do vídeo.
De fato, existem três links que levam ao mesmo arquivo hospedado em três plataformas diferentes: Yandex Disk, Google Drive e Mega. Em uma tentativa frustrada de tranqüilizar usuários suspeitos, o autor do vídeo diz que, como os links levam a serviços legítimos de hospedagem na nuvem, o arquivo não pode ser infectado por malware. Dado que você leu isso, provavelmente não ficará surpreso ao saber que é.
Como Predator the Thief funciona
O esquema foi descoberto pela primeira vez por um pesquisador de segurança independente que usa o Twitter @0xFrost, e a operação de malware foi posteriormente analisada pela Bleeping Computer.
Os usuários que se interessam pelo golpe baixam um arquivo ZIP chamado Crypto World.zip, que contém um executável de aparência inócua chamado setup.exe. Este é o próprio Trojan, e quando os especialistas o analisaram, ele tinha uma taxa de detecção muito baixa no Virus Total, o que mostra que os autores do malware adicionaram alguns novos recursos à sua criação para torná-lo mais furtivo.. O setup.exe extrai e descarta outro executável que se comunica com o servidor Command & Control (C&C) e cuida da principal operação de roubo de informações.
Pronto para uso, o malware foi projetado para roubar dados de login e outros dados de navegadores, aplicativos de jogos online, FTP, VPN e clientes de mensagens instantâneas e serviços de autenticação de dois fatores. Ele também pode usar a câmera da web do dispositivo para tirar fotos e gravar vídeos, raspar a área de transferência e até roubar arquivos específicos. Módulos adicionais baixados da C&C podem ampliar ainda mais seus recursos.
Infelizmente, ninguém sabe quantas pessoas o Predator the Thief já atingiu e que tipo de informação foi roubada. Dado que o vídeo que inicia toda a cadeia de infecção ainda está ativo, recomendamos que os fãs de criptomoeda sejam especialmente cuidadosos. Isso, lembre-se, é algo que eles já devem saber.
Cuidado com golpes relacionados a criptomoedas
Este não é o primeiro esquema de enriquecimento rápido relacionado ao bitcoin e, com toda a probabilidade, não será o último. É uma pena que o Google esteja demorando tanto para excluir o vídeo do YouTube, mas a verdade é que, depois de ficar offline, os criminosos encontrarão outras maneiras de vender algo que parece bom demais para ser verdade e provavelmente é. O simples fato é que, se você gosta de criptomoedas, precisa estar constantemente à procura de pessoas tentando enganar você com seu dinheiro e/ou dados.
