Vírus rouba contas no Facebook e YouTube para minerar cripto com PCs

Pelo menos 600 pessoas já teriam sido contaminadas em uma campanha de ataques em andamento desde meados do ano passado com um vírus que rouba perfis em redes sociais. Facebook e YouTube são os principais alvos do chamado S1deload Stealer, que uma vez dentro de um computador com Windows, também usa seu poder de processamento para minerar criptomoedas e reverter valores aos criminosos.

• Windows é alvo de 95% das novas ameaças virtuais
• Windows 10: melhores dicas de segurança para proteger seu PC

O nome da ameaça vem do método de infecção utilizado, que usa DLLs maliciosamente alteradas para se instalar nos PCs. Publicações nas redes sociais são usadas para disseminar a praga na forma de pacotes de fotos eróticas de celebridades, influenciadoras ou outras pessoas, com páginas no Facebook sendo o principal vetor dos golpes que também envolvem engenharia social.

De acordo com a Bitdefender, empresa de segurança responsável por revelar a campanha em andamento desde julho do ano passado, os usuários acreditam estar baixando um pacote em formato ZIP, mas recebem um executável com esse nome. O pacote vem assinado digitalmente com um certificado legítimo em nome da empresa Western Digital, o que aumenta a chance de sucesso na instalação e início dos trabalhos do S1deload Stealer.

Uma vez implantado no PC, o vírus busca cookies e credenciais salvas relacionadas ao YouTube e Facebook. A praga também faz checagens automáticas para verificar o “valor” das contas, buscando elementos como a administração de páginas, o vínculo a canais com muitos seguidores ou o uso da conta para compra de anúncios. Todos os dados são enviados a servidores sob o controle dos criminosos, de onde também podem vir ordens adicionais.

Ao mesmo tempo, os perfis são usados para disseminar a praga por meio de publicações e comentários, além de mensagens diretas. A ideia é usar o caráter legítimo de páginas, canais e usuários como forma de fazer valer o ataque de engenharia social, ampliando o lucro remetido aos cibercriminosos.

Em todos os computadores contaminados, as tarefas aconteceram de forma paralela à mineração da criptomoeda Beam. Os bandidos também podem solicitar a instalação de um módulo para o Google Chrome que simula o comportamento humano para gerar visualizações e curtidas em vídeos no YouTube e publicações no Facebook, enquanto, caso detecte estar rodando em outro sistema operacional que não o Windows, credenciais e cookies são coletadas de navegadores instalados.

A análise da Bitdefender lista os domínios usados pelos bandidos para disseminação da praga, assim como mostra os indicadores de comprometimento para usuários infectados. A recomendação é de atenção no download de arquivos e, principalmente, o foco em executáveis, que não devem ser rodados a não ser que se tenha absoluta certeza da procedência e do fato de que aquele dado vai ser responsável por uma instalação em seu computador.

Desconfie de comentários, mensagens diretas e outros contatos promovendo conteúdo pornográfico, mesmo que venham de amigos ou familiares. Na dúvida, o ideal é não clicar e manter sempre um antivírus funcionando no PC, já que ferramentas de segurança ajudam a evitar ameaças mais comuns.

Fonte: Bitdefender