No vasto universo da internet, onde a busca por softwares crackeados é uma prática comum, uma nova ameaça está silenciosamente se infiltrando nos sistemas dos usuários. Recentemente, o FortiGuard Labs identificou uma tática inovadora adotada por cibercriminosos, que utilizam canais do YouTube para disseminar uma variante do malware Lumma Stealer. Esta abordagem enganosa representa um risco significativo para os usuários desavisados que buscam versões crackeadas de aplicativos populares.
O modus operandi
A pesquisadora do Fortinet FortiGuard Labs, Cara Lin, destaca que os agentes de ameaças têm explorado vídeos do YouTube com conteúdo relacionado a software crackeado. Esses vídeos apresentam guias de instalação semelhantes aos de aplicativos legítimos, mas escondem URLs maliciosos encurtados por serviços como TinyURL e Cuttly. Não é a primeira vez que esse método é empregado, e, infelizmente, a eficácia dessa isca é notável.
A isca da falsa versão do Vegas Pro
Um exemplo recente documentado pela Fortinet destaca como os usuários que buscam versões crackeadas do Vegas Pro, uma ferramenta popular de edição de vídeo, são direcionados a clicar em links presentes na descrição do vídeo. Esse clique leva ao download de um instalador falso hospedado no MediaFire. O instalador, quando descompactado, revela um atalho do Windows (LNK) disfarçado de arquivo de configuração. Este atalho baixa um carregador .NET de um repositório GitHub, que, por sua vez, carrega o Lumma Stealer. Todo o processo é envolto em verificações anti-virtuais e anti-depuração, demonstrando a sofisticação dos ataques.
Lumma Stealer – uma ameaça persistente
O Lumma Stealer, escrito em linguagem C, está em circulação desde o final de 2022, sendo vendido em fóruns clandestinos. Esta variante de malware é capaz de coletar e exfiltrar dados confidenciais para um servidor controlado por um ator malicioso. O desenvolvimento contínuo do Lumma Stealer destaca a adaptabilidade dos cibercriminosos, mantendo a ameaça relevante e eficaz.
Streamjacking e outras tendências alarmantes
Este cenário preocupante ocorre em paralelo com alertas do Bitdefender sobre ataques de streamjacking no YouTube. Cibercriminosos assumem o controle de contas de alto perfil usando ataques de phishing para implantar o malware RedLine Stealer, desviando credenciais e cookies de sessão. Além disso, a descoberta de uma campanha de 11 meses utilizando iscas de phishing para distribuir o trojan de acesso remoto AsyncRAT destaca a persistência e diversidade nas táticas dos cibercriminosos.
A infecção inicial e a expansão do Lumma Stealer
O FortiGuard Labs revelou que o hacker inicialmente compromete a conta de um YouTuber para disseminar vídeos disfarçados de compartilhamento de software crackeado. Os usuários são incentivados a baixar um arquivo ZIP contendo a carga maliciosa do Lumma Stealer. A facilidade com que o malware se espalha é evidenciada pelo constante crescimento nos números de downloads, indicando uma estratégia eficaz de distribuição.
O Lumma Stealer em ação
O Lumma Stealer tem como alvo informações confidenciais, incluindo credenciais de usuário, detalhes do sistema, dados do navegador e extensões. Com servidores de comando e controle globalmente distribuídos, a presença dessa ameaça é notável. A sofisticação do Lumma Stealer é evidenciada pelo uso de um carregador .NET privado, com verificações de ambiente, anti-virtual e funções anti-depuração.
Conscientização e medidas de segurança
Os usuários são alertados sobre a necessidade de cautela ao buscar versões crackeadas de aplicativos e devem garantir o uso apenas de fontes legítimas e confiáveis. A conscientização sobre práticas seguras na internet é crucial para mitigar os riscos associados a ataques de malware. Além disso, as empresas são encorajadas a fortalecer suas medidas de segurança, considerando a seleção cuidadosa de aplicativos e a implementação de soluções de proteção contra ameaças.
