Infostealers vêm sendo entregues por meio da plataforma. Eles são disfarçados como software pirata e cracks de videogame e descartados junto com conteúdo de aparência legítima.
Mas o que são Infostealers?
Stealers ou infostealers (“ladrões de informações” em tradução livre) é um tipo de malware cuja função consiste em reunir e extrair alguns tipos de informações do dispositivo da vítima e passá-las ao atacante. Essas informações podem ser dados de cartões de crédito, tokens e cookies de autenticação e, principalmente, credenciais de acesso. Com isso, o malware stealer pode ser usado tanto por atacantes menores de forma independente para aplicar golpes e obter vantagem, quanto por grandes grupos de ransomware e Advanced Persistent Threats (APTs) para conseguir credenciais de acesso a sistemas internos.
Mas qual a conexão entre os Infostealers e os jogos piratas?
A Proofpoint alerta os usuários de computadores domésticos para não caírem em uma nova campanha criada para induzi-los a clicar em links maliciosos nas descrições de vídeos do YouTube. A fornecedora de sistemas de segurança detectou malware infostealers, incluindo o Vidar, StealC e Lumma Stealer, entregues por meio da plataforma. Eles são disfarçados como software pirata e cracks de videogame e descartados junto com conteúdo de aparência legítima.
“Os vídeos pretendem mostrar ao usuário final como fazer coisas como baixar software ou atualizar videogames gratuitamente, mas o link nas descrições dos vídeos leva a malware”, explica a Proofpoint. “Muitas das contas que hospedam vídeos maliciosos parecem estar comprometidas ou adquiridas de usuários legítimos, mas os pesquisadores também observaram prováveis contas criadas e controladas por hackers que ficam ativas por apenas algumas horas, criadas exclusivamente para entregar malware.”
A fornecedora notificou o YouTube sobre mais de duas dezenas de contas e vídeos criados para distribuir malware dessa forma, que a gigante da plataforma de vídeo posteriormente removeu.
Muitos dos jogos usados como iscas foram escolhidos deliberadamente porque são populares entre as crianças, disse a Proofpoint, indicando que os operadores da ameaça estão tentando enganar aqueles que são menos propensos a seguir as melhores práticas de segurança online. É possível que eles também tenham usado bots automatizados para aumentar o número de visualizações desses vídeos, fazendo-os parecer mais legítimos.
Os links MediaFire e Discord eram comumente usados para conectar as vítimas ao malware infostealer, acrescenta a Proofpoint.
A campanha apresenta “vários clusters de atividades distintos” e a Proofpoint não conseguiu rastrear a atividade para um único grupo específico de ameaças. “No entanto, as técnicas usadas são semelhantes, incluindo o uso de descrições de vídeo para hospedar URLs que levam a cargas maliciosas e fornecem instruções sobre como desabilitar antivírus, além de usar tamanhos de arquivo semelhantes com inchaço para tentar contornar as detecções”, conclui.
Acesse o blog da Proofpoint que aborda o uso de infostealers disfarçados de cracks de videogame clicando aqui.
Fontes:
Infostealers: o que são e como ameaçam a segurança do seu negócio?
