Vírus rouba contas no Facebook e YouTube para minerar cripto com PCs
Por Felipe Demartini • Editado por Claudio Yuge |
Pelo menos 600 pessoas já teriam sido contaminadas em uma campanha de ataques em andamento desde meados do ano passado com um vírus que rouba perfis em redes sociais. Facebook e YouTube são os principais alvos do chamado S1deload Stealer, que uma vez dentro de um computador com Windows, também usa seu poder de processamento para minerar criptomoedas e reverter valores aos criminosos.
- Windows é alvo de 95% das novas ameaças virtuais
- Windows 10: melhores dicas de segurança para proteger seu PC
O nome da ameaça vem do método de infecção utilizado, que usa DLLs maliciosamente alteradas para se instalar nos PCs. Publicações nas redes sociais são usadas para disseminar a praga na forma de pacotes de fotos eróticas de celebridades, influenciadoras ou outras pessoas, com páginas no Facebook sendo o principal vetor dos golpes que também envolvem engenharia social.
De acordo com a Bitdefender, empresa de segurança responsável por revelar a campanha em andamento desde julho do ano passado, os usuários acreditam estar baixando um pacote em formato ZIP, mas recebem um executável com esse nome. O pacote vem assinado digitalmente com um certificado legítimo em nome da empresa Western Digital, o que aumenta a chance de sucesso na instalação e início dos trabalhos do S1deload Stealer.
Uma vez implantado no PC, o vírus busca cookies e credenciais salvas relacionadas ao YouTube e Facebook. A praga também faz checagens automáticas para verificar o “valor” das contas, buscando elementos como a administração de páginas, o vínculo a canais com muitos seguidores ou o uso da conta para compra de anúncios. Todos os dados são enviados a servidores sob o controle dos criminosos, de onde também podem vir ordens adicionais.
Ao mesmo tempo, os perfis são usados para disseminar a praga por meio de publicações e comentários, além de mensagens diretas. A ideia é usar o caráter legítimo de páginas, canais e usuários como forma de fazer valer o ataque de engenharia social, ampliando o lucro remetido aos cibercriminosos.
Em todos os computadores contaminados, as tarefas aconteceram de forma paralela à mineração da criptomoeda Beam. Os bandidos também podem solicitar a instalação de um módulo para o Google Chrome que simula o comportamento humano para gerar visualizações e curtidas em vídeos no YouTube e publicações no Facebook, enquanto, caso detecte estar rodando em outro sistema operacional que não o Windows, credenciais e cookies são coletadas de navegadores instalados.
A análise da Bitdefender lista os domínios usados pelos bandidos para disseminação da praga, assim como mostra os indicadores de comprometimento para usuários infectados. A recomendação é de atenção no download de arquivos e, principalmente, o foco em executáveis, que não devem ser rodados a não ser que se tenha absoluta certeza da procedência e do fato de que aquele dado vai ser responsável por uma instalação em seu computador.
Desconfie de comentários, mensagens diretas e outros contatos promovendo conteúdo pornográfico, mesmo que venham de amigos ou familiares. Na dúvida, o ideal é não clicar e manter sempre um antivírus funcionando no PC, já que ferramentas de segurança ajudam a evitar ameaças mais comuns.
Fonte: Bitdefender