Um ator de ameaça desconhecido foi observado usando publicações pagas ou promovidas em sites legítimos de notícias para gerar interesse em seus warez, segundo novas descobertas da Check Point Research.
O ator de ameaça também mantém uma página de phishing dedicada em WordPress, que funciona como centro principal da operação, além de projetos no GitHub e no SourceForge promovidos por contas falsas, um canal no YouTube e um conjunto de contas que atuam de forma coordenada no VirusTotal com o objetivo de fazer com que arquivos maliciosos sejam classificados como seguros.
“Para divulgar uma ‘ferramenta’ maliciosa, um único ator de ameaça adotou o mesmo manual usado por marcas legítimas para criar expectativa: números inflados de downloads, avaliações coordenadas de cinco estrelas, vídeos tutoriais no estilo de influenciador e promoção em plataformas nas quais as pessoas confiam instintivamente”, afirmou a Check Point em relatório compartilhado com a reportagem.
“O resultado é uma economia de reputação falsa que se espalha por todas as plataformas que uma vítima curiosa pode consultar antes de clicar em ‘baixar’.”
O objetivo final da campanha é disseminar um sequestrador de área de transferência de criptomoedas, oculto em bots sniper de Solana e Pump.fun e em previsores de jogos de crash, o que indica que detentores de criptoativos e apostadores online em busca de atalhos e lucros rápidos são os alvos.
O clipper, escrito em Rust, atinge sistemas Windows e macOS e monitora continuamente a área de transferência em busca de conteúdo que corresponda ao padrão de um endereço de carteira de criptomoedas.
Quando encontra uma correspondência, o malware substitui o endereço da carteira por outro controlado pelo atacante, obtido de uma lista hardcoded, desviando assim os ativos digitais para ele.
Um dos pontos mais relevantes da atividade é o uso de Ghost Networks para contaminar sistemas orientados por reputação, como o VirusTotal, com o objetivo de reduzir suspeitas e aumentar a confiança das vítimas nos arquivos maliciosos por meio de uma combinação de votos positivos e comentários altamente favoráveis.
Esse comportamento também se estende ao GitHub, onde o ator de ameaça opera pelo menos seis contas para promover e distribuir seu malware de forma cruzada.
Esses sinais artificialmente impulsionados foram criados para adormecer os usuários com uma falsa sensação de segurança e confiança.
Um desses repositórios soma 146 estrelas e 62 bifurcações.
“No SourceForge, o contador de downloads chegou a 44.485, com um suspeito número de 37.460 supostamente oriundos de dispositivos Android, apesar de o desenvolvedor oferecer apenas versões para Windows e macOS”, explicou a Check Point.
“Uma explicação plausível é o uso de uma fazenda de Android para inflar artificialmente o número de downloads no SourceForge.”
Além disso, as soluções de software são promovidas por meio de um canal dedicado no YouTube, com mais de 91.000 inscritos.
O canal foi criado em julho de 2020, e os operadores afirmam que ele é “estritamente para fins educacionais”.
Os vídeos em formato de tutorial contam com narradores gerados por IA e comentários positivos para reforçar a ilusão de popularidade e confiabilidade.
Talvez o aspecto mais incomum da campanha seja o uso, pelo ator de ameaça, de um serviço de distribuição de comunicados à imprensa, como o EIN Presswire, para divulgar as supostas capacidades da ferramenta.
Desde então, o comunicado foi republicado em sites de notícias parceiros do serviço, principalmente da USA TODAY Network.
“Manipular o sentimento e a reputação em plataformas baseadas na contribuição do público representa uma mudança significativa na forma como os atacantes constroem confiança”, afirmou a Check Point.
“O mesmo manual de reputação falsa e promoção agressiva em várias plataformas pode, com o tempo, ser facilmente usado para distribuir infostealers ou ransomware a alvos de maior valor.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...