Arquivo de filme falso infecta computador para roubar Criptomoedas. Um arquivo de atalho malicioso do Windows disfarçado de filme no torrent tracker The Pirate Bay é capaz de injetar conteúdo malicioso do atacante em sites de alto perfil, bem como para roubar criptomoedas.
Um pesquisador de segurança que usa o Twitter 0xffff0800 descobriu o malware disfarçado como um arquivo de vídeo do filme “The Girl in the Spider’s Web” (A Garota da Teia da Aranha ), que na verdade era um atalho .LNK que executava um comando do PowerShell.
O pesquisador compartilhou amostras do malware para Lawrence Abrams, da BleepingComputer, que analisou mais amostras e descobriu que o malware é capaz de envenenar o Google, a Wikipedia, o Yandex e outros sites de busca de alto perfil, de acordo com o site.
O site afirmar BleepingComputer que “O malware no TPB não é uma novidade, mas o método usado para infectar o computador da vítima e a grande quantidade de atividades maliciosas variadas descobertas pelo BleepingComputer são bastante interessantes.“
Imediatamente após o início do navegador, a extensão de malware se conecta a um banco de dados do Firebase e obtém várias configurações junto com o código JavaScript para injetar em várias páginas da Web. Isto é onde a diversão começa.
Em uma página de resultados de pesquisa do Google, o malware insere os resultados de pesquisa promovidos pelo invasor como os principais resultados da pesquisa na página. Ao executar uma consulta de ‘spyware’, por exemplo, os dois primeiros resultados apontaram para sites que recomendavam uma solução de segurança chamada TotalAV.
“Para fazer isso, o malware modifica as chaves do registro para desabilitar a proteção do Windows Defender se o antivírus da Microsoft estiver habilitado”, disseram os pesquisadores. “Ele também instala à força no Firefox uma extensão chamada ‘Firefox Protection’ e seqüestra a extensão do Chrome chamada ‘Chrome Media Router’, com o ID ‘pkedcjkdefgpdelpbcmbmeomcjbeemfm.’”
O malware também tentará roubar a criptomoeda. Em um esquema de doação, o mecanismo de injeção de malware insere uma bandeira de doação falsa, alegando que o site agora aceita criptomoedas enquanto exibe endereços de carteira para “doar”.
Uma carteira é para Bitcoin e no momento da escrita tinha 70 dólares em criptomoedas. O outro é para Ethereum e teve um valor de quase ETH 4,6, ou cerca de US$ 600.
Um terceiro endereço de carteira de bitcoin foi encontrado nos scripts baixados pelo malware, com um saldo de US$ 13. Isso não parece estar incluído no golpe de doação da Wikipédia.
Todas as três carteiras fazem parte de outra tarefa maliciosa, destinada a substituir os endereços Bitcoin e Ethereum encontrados em páginas da web. Essa tática não mostra nenhum sinal que possa alertar o usuário sobre o truque. Como as carteiras são uma grande seqüência de caracteres aleatórios, a maioria dos usuários provavelmente não notará a diferença entre o que eles esperavam copiar e o resultado colado.
Quando executado, o arquivo de filme falso lançará um comando do PowerShell que executa uma série de outros comandos que acabam finalizando fazendo o download de um payload na pasta% AppData%.
Abrams notou que dois arquivos executáveis ocultos foram descarregados na pasta C: \ Arquivos de Programas (x86) \ SmartData . Embora tenham nomes diferentes (‘servicer.exe’ e ‘performer.exe’), eles são iguais.
Uma tentativa de adicionar ‘servicer.exe’ como um serviço chamado “Monitoramento inteligente” foi observada durante a análise. No entanto, o criminoso cibernético estragou essa etapa ao falhar em escrever o comando corretamente.
A BleepingComputer finaliza alertando para você esteja avisado que a obtenção de filmes de rastreadores de torrent pode proporcionar a você mais do que algumas horas de entretenimento, pois o malware pode se esconder nos arquivos que acompanham e ficar com você por muito mais tempo.
Fonte: SC Media & BleepingComputer
Veja também:
- Especialistas escapam dos Contêineres e executam comandos no PWD
- GoDaddy injeta JavaScript que pode afetar o desempenho de sites
- Terrorismo e a Continuidade de Negócios no Brasil
- Decreto nº 9.637/2018 – Política Nacional de Segurança da Informação
- Os celulares da mira da Anatel
- CERTISIGN divulga nota sobre vazamento de dados
- PASTEBIN – Certisign Pwned by sup3rm4n – fatal error crew
- Por que você deve ocultar seu endereço IP?
- POSICIONAMENTO da TIVIT sobre novo vazamento de dados
- Novo Vazamento de Dados na TIVIT
- Censura Chinesa treina jovens a buscar conteúdo proibido online
- +2,4 milhões de dados de usuários do gerenciador de senhas do Blur foram expostos on-line
Deixe sua opinião!