Um pesquisador da Kaspersky descobriu uma tática utilizada por agentes maliciosos para infectar computadores por meio de sites falsos de aplicativos famosos. A descoberta foi publicada por Denis Kulik nesta quarta-feira (1º) e mostra como os cibercriminosos usam o software ScreenConnect para enganar as vítimas para inserir o malware AsyncRAT.
Para essa onda de golpes, os atacantes utilizaram uma técnica já conhecida pelas firmas de segurança: o SEO Poisoning. Neste caso, foram criados mais de 90 sites falsos que visam imitar perfeitamente sites verdadeiros de aplicativos famosos da internet. Dentre os softwares afetados estão o OBS Studio, popular entre streamers, o emulador DS4Windows e o DNS Jumper.
smart_display
Nossos vídeos em destaque
Esse SEO Poisoning visa confundir os usuários, que desejam entrar na página oficial para realizar o download, mas caem em um site falso. Os criminosos usam a tática de Typosquatting, que registra domínios parecidos com os originais, mas com algum erro mínimo de digitação que os diferencia.
Como consequência, a vítima entra no site falso e realiza o download de um software que ela pensa ser legítima. Secretamente, elas baixam a ferramenta do ScreenConnect, que é um software oficial para suporte remoto de PCs. Porém, os criminosos usam esse executável para inserir o malware AsyncRAT e tomar controle do dispositivo.
Como o AsyncRAT entra nos PCs?
A anatomia desse tipo de golpe parte de um conceito curioso, o Living off the Land (Viver da terra, em tradução livre). Isso consiste em um método de utilizar as ferramentas legítimas do próprio sistema operacional para distribuir o vírus.
Uma vez que a vítima entra no site falso, realiza o download e começa a instalar o aplicativo, a segunda etapa do golpe começa. Por sinal, é válido salientar que o executável do ScreenConnect baixado tem até mesmo uma certificação de segurança digital assinada pela Microsoft, mas com arquivos adulterados. Entenda o esquema:
- Quando o aplicativo adulterado é executado na instalação, o sistema começa a ativar a biblioteca de arquivos falsos;
- Em paralelo, a aplicação exibe a interface de instalação, um utilitário malicioso com o falso nome “Microsoft Update Service”, é instalado ocultamente;
- O ScreenConnect inicia um script em PowerShell que altera o registro do Windows, ordenando que o Microsoft Defender ignore discos rígidos e pastas públicas do sistema;
- Com tudo desligado, um arquivo de texto é injetado na memória RAM, esvaziando um processo confiável;
- Ao ter o processo esvaziado na RAM, o malware AsyncRAT é instalado em seu lugar e o sistema sequer percebe isso, pois entende que aquele processo é verdadeiro.
)
Para garantir que o vírus permaneça ativo mesmo se o computador for reiniciado, os invasores criam uma tarefa agendada no Windows que executa todo o script de infecção a cada dois minutos.
Como se proteger desse golpe?
Por utilizar táticas de engenharia social, as pessoas precisam tomar cuidado nos sites que elas acessam. Em golpes de SEO Poisoning, como esse, o ideal é sempre verificar bem a URL, ou seja, o link do site acessado. Os links oficiais não possuem quaisquer tipos de erro e são curtos. URLs falsas contém extensões como “.app”, “.cc”, “.pro”, etc.
Também é ideal sempre descartar o primeiro resultado das pesquisas no Google, afinal de contas ele é muitas vezes um espaço possível de ser comprado para publicidade. Cibercriminosos compram esse espaço para disseminar sites falsos, então o segundo resultado nas buscas é mais confiável.
Por falar em grandes falhas, uma vulnerabilidade no sistema do Microsoft Defender para Windows permite controle total para invasores. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
