As plataformas de vídeos curtos, como o TikTok e Instagram , tornaram-se a mais recente forma utilizada pelos cibercriminosos para disseminar malware.
Já vimos os atacantes abandonarem os e-mails de phishing tradicionais e adotarem táticas que levam as pessoas a instalarem elas próprias malware. Agora, são atraídas por vídeos apelativos nas redes sociais que prometem o Spotify Premium gratuito, Windows gratuita Windows ou o Microsoft Office gratuito, mas que, na realidade, acabam por instalar programas de roubo de dados nos seus Windows .
Os investigadores da ReversingLabs descobriram duas campanhas ativas que utilizam vídeos curtos para induzir os utilizadores a executar comandos perigosos do PowerShell ou a visitar sites de download maliciosos. Campanhas semelhantes foram relatadas por outros investigadores e agências nacionais de cibersegurança, sugerindo uma tendência crescente: os cibercriminosos estão a aprender a utilizar os algoritmos das redes sociais com a mesma eficácia que os profissionais de marketing.
Ao verdadeiro estilo das redes sociais, os vídeos em plataformas como o TikTok e Instagram afirmam resolver um problema que nem sabias que tinhas. O problema é que seguir as instruções faz com que o teu dispositivo seja infetado por malware.
Como funciona o esquema
A primeira campanha parece, à primeira vista, muito profissional.
Contas com nomes comowindows.tips» ouwindows.insights» utilizam uma identidade visual Windows e publicam vídeos tutoriais bem produzidos que se assemelham a conteúdos genuínos de suporte técnico. Os vídeos são etiquetados com palavras-chave relacionadas com Windows , para que apareçam juntamente com conteúdos legítimos de resolução de problemas e dicas.
Os vídeos prometem desbloquear o Spotify Premium, o Microsoft Office ou Windows . Os espectadores são então orientados através de instruções passo a passo que incluem abrir o Powershell, uma ferramenta Windows legítima Windows , e colar comandos. Esses comandos descarregam e executam malware, tal como os esquemas fraudulentos do ClickFix de que já falámos anteriormente.
O malware foi identificado como Vidar, um programa de roubo de dados concebido para subtrair informações confidenciais de dispositivos infetados. O Vidar tem como alvo habitual:
- Senhas guardadas no navegador
- Preenchimento automático de dados
- Cookies do navegador
- Carteiras de criptomoedas
- Dados relativos à autenticação de dois fatores (2FA)
- Dados do navegador TOR
As informações roubadas são então enviadas para servidores controlados pelos atacantes.
Como se manter seguro
Estudos sobre ataques semelhantes baseados no TikTok revelam que estes scripts costumam adicionar exclusões ao Windows , dificultando a deteção de atividades maliciosas futuras por parte do software de segurança.
Felizmente, existem algumas formas simples de se proteger:
- Descarregue software apenas a partir dos sites oficiais dos fornecedores.
- Desconfie de versões «gratuitas», pirateadas ou não oficiais de software pago.
- Não siga instruções numa página web sem as analisar cuidadosamente, especialmente se a página lhe pedir para executar comandos no seu dispositivo ou para copiar e colar código. Muitas páginas do ClickFix utilizam contagens decrescentes, contadores de utilizadores falsos ou outras táticas de pressão para o levar a agir rapidamente.
- Verifique se os ficheiros descarregados correspondem ao que esperava descarregar.
- Verifique o editor e a assinatura digital de um ficheiro antes de o executar. No Windows, normalmente pode verificar isso clicando com o botão direito do rato no ficheiro e selecionandoPropriedades>Assinaturas digitais. Tenha em conta que uma assinatura válida não garante que um ficheiro seja seguro, mas a ausência de assinaturas ou a presença de assinaturas suspeitas são frequentemente um sinal de alerta.
- Utilize uma solução antimalware em tempo real e atualizada para bloquear malware, como programas de roubo de dados, antes que este seja executado.
Dica profissional: se não tiver a certeza se um vídeo, uma mensagem ou um site é legítimo, pode consultar Malwarebytes Guard. Esta ferramenta pode ajudar a identificar conteúdos suspeitos e aconselhá-lo sobre o que fazer a seguir.
Imagem cedida pela ReversingLabs
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
