This post is also available in: Português
Analistas de segurança coreanos identificaram uma campanha de distribuição de malware que usa truques do Valorant no YouTube para induzir os jogadores a baixar o RedLine, um poderoso spyware capaz de obter informações de maneira indevida.
Identificada pela ASEC, a campanha tem como alvo a comunidade de jogos do Valorant, um jogo de tiro em primeira pessoa gratuito para Windows, oferecendo um link para baixar um bot de mira automática na descrição do vídeo.
Esses cheats são supostamente add-ons instalados no jogo para ajudar os jogadores a mirar nos inimigos com velocidade e precisão, se a necessidade de desenvolver habilidades para isso.
Os bots de mira automática são muito procurados para jogos multiplayer populares como o Valorant, porque permitem progressão de classificação sem esforço.
RedLine Stealer escondido no arquivo
Os usuários que tentarem baixar o arquivo na descrição do vídeo, serão levados para uma página onde terão acesso a um arquivo RAR que contém um executável chamado “Cheat installer.exe”.
Este arquivo, na realidade, é uma cópia do ReadLine stealer, uma das infecções por malware de roubo de senhas mais amplamente implantadas, que captura os seguintes dados de sistemas infectados:
- Informações básicas: nome do computador, nome de usuários, endereço IP, versão do Windows, informações do sistema (CPU, RAM, etc.) e lista de processos;
- Navegadores da Web: senhas, números de cartão de crédito, formulários de preenchimento automático, favoritos e cookies do Chrome, navegadores baseados no Chrome e Firefox;
- Carteiras de criptomoedas: Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash e Jaxx;
- Clientes VPN: ProtonVPN, OpenVPN e NordVPN;
- Outros: FileZilla (endereço do host, número da porta, nome de usuário e senhas), Minecraft (credenciais da conta, nível, classificação), Steam (sessão do cliente), Discord (informações do token).
Após coletar essas informações, o RedLine as compacta em um arquivo ZIP chamado “().zip” e extrai os arquivos por meio de uma solicitação POST da API WebHook para um servidor Discord.
Exfiltrando informações roubadas via Discord WebHook. Imagem/Reprodução: ASEC
Esteja atento a links em vídeos do YouTube
Além do fato de que trapacear em videogames tira a diversão de jogar e arruína o jogo para os outros, é sempre um risco de segurança potencialmente grave.
Nenhuma dessas ferramentas de trapaça é de autoria de entidades confiáveis, nenhuma é assinada digitalmente (portanto, os avisos de antivírus não devem ser ignorados) e muitas são de fato malware.
O relatório da ASEC contém um exemplo recente, mas isso é apenas uma gota no mar de links de download maliciosos em vídeos do YouTube que promovem software livre de vários tipos.
Os vídeos que promovem essas ferramentas são frequentemente roubados de outros lugares e republicados por cibercriminosos em canais recém criados para atuar como iscas.
Mesmo que os comentários abaixo desse vídeo elogiem o remetente e afirmem que a ferramenta funciona como prometido, eles não devem ser confiáveis, pois podem ser facilmente falsificados.
Os cibercriminosos investem cada vez mais tempo para burlar sistemas de segurança e causar danos para pessoas e empresas. Eles fazem uso de táticas avançadas para atacar vítimas e obter lucro com esta ação.
As ameaças se multiplicam a cada instante e possuem inúmeras variações. Sua principal característica é infectar os computadores e dispositivos, assumindo diversas formas.
Então como se proteger dessas ameaças? Como agir caso seja infectado?
Baixe gratuitamente o e-book tudo sobre malware, que traz conceitos e terminologias associadas a malwares e dicas de como se manter seguro.
This post is also available in: Português
