Trojan-170.jpg

Software pirata atrai vítimas para furto de criptomoedas

Da Redação
09/06/2022

Cerca de 10 mil pessoas do Brasil, Índia, Indonésia e França tentaram baixar cópias piratas de software comercial que estão contaminadas com um stealer de carteiras digitais: a informação foi publicada ontem pelo pesquisador Pavel Novak, da Avast, num relatório sobre o bloqueio dessas tentativas em computadores de clientes. Para esta campanha, segundo relatório da empresa, os cibercriminosos abusam dos nomes de marcas de softwares populares, promovendo versões ilegais e crackeadas deles para atrair os usuários a baixar o malware. Os nomes das marcas abusadas para esta campanha são, por exemplo: “CCleaner Pro Windows”, mas também “Microsoft Office”, “Movavi Video Editor 22.2.1 Crack” “IDM Download gratuito da versão completa com chave serial” “Movavi Video Editor 22.2.1 Crack” “Crack Office 2016 Full Crack + Product Key (Activator) 2022”.

Batizada de “FakeCrack”, a campanha é operada por cibercriminosos que dispõem de uma vasta infraestrutura para entregar malware e roubar dados pessoais e outros dados confidenciais, incluindo ativos criptográficos.

Veja isso
Avast anuncia aquisição da canadense SecureKey
Cryptojacking eleva conta de nuvem a US$ 760 mil

A cadeia de infecção começa nos sites que oferecem supostas versões crackeadas de softwares conhecidos. Graças a trabalho de Black SEO – exploração de técnicas de indexação de mecanismos de busca para favorecer o cibercrime – todos esses sites aparecem nas primeiras posições dos resultados em mecanismos de busca. A grande maioria dos resultados leva a sites de crack comprometidos, e os usuários acabam baixando malware em vez do crack.

Em seguida, um link leva a uma extensa infraestrutura de entrega do malware: após clicar no link, o usuário é redirecionado através de uma rede de domínios para a página de destino. Esses domínios têm um padrão semelhante e são registrados na Cloudflare, usando alguns servidores de DNS. O primeiro tipo de domínio usa o padrão freefilesXX.xyz , onde XX são dígitos. Esse domínio geralmente serve apenas como redirecionador. O redirecionamento leva a outra página usando o domínio de nível superior (TLD) cfd . Esses domínios cfd servem como um redirecionador, bem como uma página de destino.

A página de destino tem diferentes formas visuais. Todos eles oferecem um link para uma plataforma legítima de compartilhamento de arquivos, que contém um arquivo ZIP de malware. Os serviços de compartilhamento de arquivos abusados ​​nesta campanha incluem, por exemplo, o compartilhamento de arquivos japonês filesend.jp ou mediafire.com. 

Compartilhar: