Hackers disfarçam trojan letal em instalador falso de Roblox
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
Pesquisadores de segurança da Inteligência de Ameaças da Microsoft emitiram alertas de que hackers estão usando supostas ferramentas para jogos como Xeno e Roblox para entregar RATs (trojans de acesso remoto). Os executáveis baixados parecem legítimos e inofensivos, mas usam diversas táticas furtivas para permanecerem ativos no computador da vítima.
- O que é um ciberataque "living off the land"?
- Arquivo .scr é vírus? Entenda o perigo e aprenda a bloquear no Windows
Os arquivos, disfarçados como Xeno.exe ou RobloxPlayerBeta.exe, por exemplo, agem como downloaders que preparam o sistema para a próxima fase de ataque. É instalado um Java runtime portátil que lança o arquivo malicioso jd-gui.jar, usando ferramentas legítimas do Windows, como o PowerShell e binários do sistema como cmstp.exe, para o malware se manter escondido.
Ataque living-off-the-land
Executáveis confiáveis, conhecidos como binários living-off-the-land (LOLbins), permitem que os hackers explorem softwares já presentes no sistema Windows para evitar detecção, já que sua atividade parece ser um processo normal. No malware em questão, o PC da vítima é conectado a servidores remotos, que salvam o arquivo malicioso update.exe e o executam automaticamente.
Um dos domínios listados no script inclui o powercatdog, que remove traços do downloader original e adiciona exceções no Microsoft Defender para que os componentes RAT não sejam atacados pelo antivírus nativo. Com gerenciamento da inicialização do Windows e programação de tarefas, um script chamado word.vbs garante que o programa hacker rode toda vez que o computador é ligado.
Segundo a Microsoft, o Defender já foi atualizado e consegue detectar o malware e os comportamentos usados na campanha, mas a empresa ainda recomenda que usuários monitorem o tráfego de saída da máquina e bloqueiem conexões aos domínios e IPs listados nos indicadores de comprometimento (verifique o comunicado da Microsoft para saber mais).
Caso você jogue no seu computador Windows, tenha cuidado ao baixar quaisquer ferramentas compartilhadas em grupos, chats ou locais que prometam atalhos, vantagens e afins: a chance de conterem malwares escondidos sob nomes familiares é bem grande. Confie apenas em sites oficiais e evite páginas clandestinas.
Leia também:
- Novo golpe usa IA para gerar comprovante falso de Pix; bancos não devolvem valor
- Justiça condena Bradesco por golpe da falsa central de atendimento
- Seu IP na cena do crime: o perigo invisível do proxyware
Fonte: HackRead.com