Golpe Falso Atrai Gamers e Espalha Malware de Furto de Informações
19 de Abril de 2024

Um novo malware de roubo de informações, relacionado ao Redline e que se disfarça de um cheat para jogos chamado 'Cheat Lab', está prometendo aos usuários uma cópia gratuita se eles convencerem seus amigos a instalar o software também.

O Redline é um malware de roubo de informações potente, capaz de coletar informações sensíveis de computadores infectados, incluindo senhas, cookies, informações de preenchimento automático e informações de carteiras de criptomoedas.

Esse malware é muito popular entre os cibercriminosos e é distribuído mundialmente usando diversos canais de distribuição.

Pesquisadores de ameaças da McAfee relataram que o novo ladrão de informações utiliza bytecode Lua para evitar detecção, permitindo que o malware se injete em processos legítimos para se manter oculto e também aproveite a performance da compilação Just-In-Time (JIT).

Os pesquisadores associam esta variante ao Redline, pois ela usa um servidor de comando e controle anteriormente associado ao malware.

No entanto, o malware não exibe comportamentos tipicamente associados ao Redline, como roubar informações de navegadores, salvar senhas e cookies.

Os payloads maliciosos do Redline se passam por demos de ferramentas de trapaça chamadas "Cheat Lab" e "Cheater Pro" por meio de URLs vinculadas ao repositório 'vcpkg' da Microsoft no GitHub.

O malware é distribuído como arquivos ZIP contendo um instalador MSI que, ao ser executado, descompacta dois arquivos, compiler.exe e lua51.dll.

Ele também solta um arquivo 'readme.txt' contendo o malicious Lua bytecode.

Esta campanha utiliza um atrativo interessante para distribuir ainda mais o malware, dizendo às vítimas que elas podem obter uma cópia totalmente licenciada do programa de trapaça se convencerem seus amigos a instalá-lo também.

A mensagem também contém uma chave de ativação para adicionar legitimidade.

"Para desbloquear a versão completa, simplesmente compartilhe este programa com seu amigo.
Uma vez que você faça isso, o programa será automaticamente desbloqueado," diz o prompt de instalação mostrado abaixo.

Para evitar detecção, o payload do malware não é distribuído como um executável, mas sim como bytecode não compilado.

Quando instalado, o programa compiler.exe compila o bytecode Lua armazenado no arquivo readme.txt e o executa.

O mesmo executável também configura a persistência criando tarefas agendadas que são executadas durante a inicialização do sistema.

A McAfee relata que o malware usa um mecanismo de fallback para persistência, copiando os três arquivos para um caminho aleatório e longo sob dados do programa.

Uma vez ativo no sistema infectado, o malware se comunica com um servidor C2, enviando capturas de tela das janelas ativas e informações do sistema e aguardando por comandos para executar no host.

O método exato usado para a infecção inicial ainda não foi determinado, mas os ladrões de informações são tipicamente espalhados via malvertising, descrições de vídeos no YouTube, downloads P2P e sites enganosos de download de software.

Aconselha-se aos usuários evitar executáveis não assinados e arquivos baixados de sites duvidosos.

Este ataque mostra que até mesmo instalar programas de locais aparentemente confiáveis como o GitHub da Microsoft pode preparar o terreno para uma infecção por Redline.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...