Publicidade

Ciberataque usa falso minerador de criptomoeda para espalhar vírus pelo YouTube

Por| Editado por Claudio Yuge | 07 de Julho de 2022 às 20h20

Link copiado!

Envato/jirkaejc
Envato/jirkaejc

O YouTube é o palco de uma nova campanha maliciosa para espalhar um vírus que rouba dados pessoais, senhas, cookies e tira screenshots da tela sem que o usuário perceba. A isca é um tutorial que exibe um novo minerador de criptomoedas com suposta eficiência e gratuidade, servindo de isca para o download de um software contaminado com o malware PennyWise.

A onda de ataques envolve, pelo menos, 80 vírus que foram encontrados pelos especialistas em segurança da Cyble. Todos foram publicados em um mesmo canal e ainda contam com números baixos de visualizações, o que indica uma campanha mal sucedida ou que ainda está em suas fases iniciais — provavelmente a segunda hipótese, levando em conta a baixa taxa de detecção por ferramentas antivírus.

Seja como for, a praga já está preparada para isso, trazendo links maliciosos que indicam a “limpeza” do minerador, incluindo um alerta de que softwares de segurança podem indicar falsas detecções positivas. Como um vírus focado em criptomoedas, é claro que as carteiras também são o alvo, ainda que a busca por dados desse tipo ou extensões de navegador focadas nesse mercado sejam uma tarefa secundária realizada pelo PennyWise.

Continua após a publicidade

De qualquer forma, uma vez que a varredura é feita completamente, todos os dados são compactados e enviados em um único arquivo a um servidor sob o comando dos criminosos. Depois, o malware se autodestrói, de forma a não deixar rastros no PC, enquanto medidas de furtividade são aplicadas também durante sua execução, entendendo, por exemplo, que tipo de ferramenta de proteção está instalada ou se está rodando em uma sandbox ou desktop remoto, interrompendo as atividades se necessário.

Além disso, a origem dos ataques também é demonstrada pelo fato de que o PennyWise também deixa de funcionar caso detecte que o computador infectado está localizado em países como Rússia, Ucrânia, Bielorrússia ou Cazaquistão. Ainda que os ataques não tenham sido associados a países ou grupos específicos, dá para imaginar, pelo menos, algum tipo de afiliação política.

A recomendação dos especialistas é para que os usuários evitem o download de soluções a partir de links desse tipo, hospedadas em nuvens públicas ou sites suspeitos. Principalmente quando se trata de apps ligados a criptomoedas, sejam carteiras ou mineradores, o ideal é utilizar apenas domínios dos próprios desenvolvedores de software, não compartilhando informações com terceiros.

Continua após a publicidade

Além disso, outra recomendação é para que os usuários evitem salvar senhas no navegador, preferindo usar gerenciadores externos de credenciais para isso, sempre com combinações únicas para cada serviço. Todos devem contar com autenticação em duas etapas, de forma que, mesmo com as informações, um atacante não possa acessar o perfil de forma indevida.

Fonte: Cyble