6 apps para Windows têm vírus que ficam escondidos um mês antes de agir

Um novo malware para Windows é capaz de se manter inativo no computador por até um mês antes de começar a agir, como forma de escapar da detecção por softwares de segurança. Distribuído como se fosse o Google Tradutor, YouTube Music ou programas para o download de MP3s, entre outras aplicações legítimas, a praga é, na realidade, um minerador de criptomoedas, que usa o poder computacional das vítimas para gerar lucro aos criminosos.

• Quatro métodos usados por vírus para escapar de softwares de segurança
• Criminosos usam sistema de verificação para atingir apenas vítimas em potencial

A operação foi detalhada pelos especialistas em segurança digital da Check Point Research, que citam milhares de máquinas contaminadas em 11 países. O malware seria de origem turca, entregue a partir de sites que disponibilizam aplicações gratuitas para download, como a Softpedia e o uptodown, o que também ajuda a campanha a aparecer com destaque em resultados de buscas, a partir de sua presença em sites considerados legítimos.

Os seguintes apps, com alcance mundial, são usados para disseminar a contaminação:

• Google Translate Desktop
• Yandex Translate Desktop
• Microsoft Translate Desktop
• PC Auto Shutdown
• MP3 Download Manager
• YouTube Music Desktop

Os aplicativos efetivamente cumprem o que prometem, o que aumenta a furtividade da contaminação; após isso, também, arquivos resultantes seriam deletados, com o comprometimento mantendo seus rastros na máquina a um mínimo necessário. Com tudo isso e entre as diferentes técnicas de ofuscação, a campanha foi capaz de permanecer sob o radar por pelo menos dois anos, já que estaria ativa desde 2019.

Isso, também, teria permitido um grande alcance para a campanha, com apenas a versão fraudulenta do Google Tradutor disponível na Softpedia tendo acumulado mais de 112 mil downloads antes de ser detectada pelos especialistas. Servidores online, controlados pelos bandidos, são capazes de entregar até atualizações para os softwares fraudulentos e também os arquivos maliciosos.

Isso, entretanto, acontece em diferentes fases, com a praga podendo se disfarçar também como componentes do sistema operacional até, efetivamente, receber os comandos de mineração de criptomoedas e começar a gerar rendimentos para os criminosos. Configurações avançadas permitem até mesmo controlar quanto processamento será usado, também como uma maneira de evitar que o usuário perceba o problema.

Chama atenção, entretanto, o fato de muitas das aplicações prometidas não terem um app oficial para desktop, com a operação Nitrokod, como foi chamada, usando uma adaptação de um navegador baseada em Chromium para exibir a interface web dos serviços dentro de uma janela. Assim, apontam os especialistas, os criminosos podem distribuir apps efetivamente funcionais, mas sem precisarem desenvolver nada e aumentando a capacidade de sucesso da campanha.

Os especialistas da Check Point apontam que a operação de mineração pode ser apenas um exemplo do que é possível fazer com uma máquina contaminada pelo Nitrokod, que também pode receber malwares mais perigosos. Por isso, a recomendação de segurança é pelo download, apenas, de soluções oficiais a partir dos sites de seus desenvolvedores, com os usuários devendo evitar supostos clientes de serviços que não possuem versão dedicada ao desktop.

No caso dos mineradores de criptomoedas, lentidões repentinas no computador são sinais de que algo de errado está acontecendo. Aos usuários avançados, vale a pena monitorar processos em busca de algo de errado, enquanto a todos, a recomendação é sempre manter o sistema operacional e apps atualizados, assim como um bom software de segurança.

Fonte: Check Point Research