Todos nós sabemos sobre os perigos de torrents e software pirata, mas mesmo assim, ainda existem campanhas maliciosas de sucesso baseadas em sites populares de torrent [e usuários menos instruídos]. Essa campanha acabou de ser vista pela Symantec [que acabou de adquirir Blue Coat, mas isso é alimento para outros pensamentos].
A empresa de segurança identificou e analisou torrents falsos com nomes de jogos populares, como Assassin’s Creed Syndicate, World of Warcraft: Legião e Os mortos que caminham: Michonne que realmente baixam aplicativos potencialmente indesejados (satisfeito, ou PUPs). além disso, suspeita-se que a campanha tira proveito de programas legítimos de pagamento por instalação de afiliados. Cuidado com os arquivos .torrent, e analisá-los antes de prosseguir com o download.
Você sabe o que é um PUA, Certo?
É o tipo de software suspeito que torna seu sistema vulnerável a uma variedade de problemas de segurança. PUAs ou PUPs (programas potencialmente indesejados) pode impactar o sistema e seu desempenho de várias maneiras. Algumas instalações de filhotes requerem interação do usuário. Contudo, alguns aplicativos indesejados podem ser mais intrusivos e podem ser instalados silenciosamente, sem o conhecimento do usuário. Este não é o caso do arquivo .torrent envolvido nesta operação em particular.
Programas potencialmente indesejados podem ser agrupados com outro software (siga cuidadosamente o processo de instalação para desmarcar o software adicionado) ou, nesse caso, pode vir através de um download de arquivo .torrent falso.
Quando .torrent for falso: World of Warcraft: Legion e outros jogos populares usados para atrair usuários
Aqui está uma lista de jogos populares que estão sendo abusados nesta campanha maliciosa:
- World of Warcraft: Legião (Blizzard Entertainment)
- Assassin’s Creed Syndicate (Ubisoft)
- O Mago 3: Caça selvagem (Projeto de CD)
- A Divisão de Tom Clancy (Ubisoft)
- Justa causa 3 (Square Enix)
- Os mortos que caminham: Michonne (Jogos da Telltale)
Os usuários que são enganados pelo esquema pensam que estão baixando um arquivo .torrent para um dos jogos mencionados acima. Se o usuário for pego no esquema e prosseguir com o download, ele receberá instruções específicas sobre como continuar com a instalação. Um controle de conta de usuário (UAC) uma caixa de diálogo de segurança será exibida para ele para solicitar a confirmação do download a ser executado. Se o usuário concordar com isso, um redirecionamento será iniciado e o usuário acabará baixando um executável hospedado no Google Drive. Felizmente, O Google identificou alguns dos downloaders maliciosos.
Como detectar irregularidades com o arquivo .torrent?
video_chto_takoe_starenie(.)Exe
A primeira coisa que chamará a atenção de um olho treinado é que o arquivo .torrent prometido é um .exe. De acordo com VirusTotal, o .exe em questão é video_chto_takoe_starenie(.)Exe. Além disso, o tamanho do arquivo é outro indicador, pois é muito grande para um arquivo torrent - 3.5 MB.
Detecção da Symantec para o PUA (PUP) downloader é PUA.ICLoader!g3. Outras detecções incluem Trojan.ICLoader.CD e os seguintes:
- Bitdefender – Gen:Variant.Symmi.62307
- Dr. Rede – Trojan.InstallCube.987
- ESET NOD32, – Win32 / Adware.ICLoader.MB
- EmsiSoft – Gen:Variant.Symmi.62307 (B)
- Kaspersky – não-a-virus:AdWare.Win32.ICLoader.afvc
- McAfee – Artemis!164FBBB04F06
- Microsoft – SoftwareBundler:Win32 / ICLoader
- TrendMicro – TROJ_GEN.R00XC0EDE16
Lembre-se de que o downloader PUP pode iniciar solicitações POST para vários locais remotos que hospedam adware:
188.42.244.143
188.42.244.207
apibiggo.ru
apifastmake.ru
apifastrun.ru
apiitheynow.ru
apiquicklygo.ru
apirapidlygo.ru
lolappiifastr.ru
lappiifaster.ru
O downloader também pode verificar ambientes virtuais e baixar silenciosamente mais PUPs no sistema da vítima. A pior parte é que a instalação adicional de PUPs não requer interação do usuário e nenhum EULA é exibido para o usuário para que ele possa cancelar. Se você notar que a página inicial do seu navegador foi alterada, e os atalhos do navegador são ocultados ou substituídos por navegadores de terceiros, você deve considerar a verificação de seu sistema por meio de software anti-malware. Foi invadido por adware e sequestradores de navegador.
Como remover filhotes trazidos por video_chto_takoe_starenie(.)Exe
Como o downloader do PUA pode ter trazido muitos filhotes para o seu computador, a maneira mais fácil de detectar e remover todos eles é instalar e executar um programa anti-malware. Esta é a maneira mais segura de garantir que seu sistema esteja limpo. Contudo, se o seu conhecimento na remoção de programas indesejados está acima da média, você também pode tentar consertar seu sistema e navegadores manualmente, seguindo os passos que se seguem.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: