Uma nova campanha Windows esconde-se em jogos de PC pirateados e instaladores modificados de franquias como Far Cry, Need for Speed, FIFA e Assassin’s Creed.
Os investigadores estimam que mais de 400 000 dispositivos em todo o mundo tenham sido infetados, dos quais cerca de 30 000 utilizadores nos EUA.
O método de infeção é simples e eficaz. Os utilizadores são levados a instalar um jogo gratuito totalmente funcional. Embora o jogo pirateado e reempacotado pareça funcionar, o malware instala-se silenciosamente em segundo plano.
Esta variante é conhecida como «RenEngine loader» e, por vezes, referida como Ren’Py, uma vez que partes do código malicioso estão incorporadas num lançador Ren’Py legítimo, utilizado para executar alguns jogos de romance visual. Quando o lançador é executado, descomprime os ficheiros do jogo e inicia secretamente a cadeia de infeção.
O Ren’Py é um motor de romances visuais legítimo e de código aberto utilizado por programadores para criar jogos centrados na narrativa, com texto, imagens, som e opções interativas. O malware em questão não é o próprio Ren’Py. Os atacantes estão a utilizar indevidamente o motor ou o seu programa de lançamento como meio de distribuição para ocultar código malicioso nas instalações de jogos pirateados.
Na prática, o principal vetor de infeção é a pirataria de software. As vítimas descarregam jogos pirateados ou instaladores reempacotados de sites não oficiais e, em seguida, executam o que parece ser um lançador de jogos ou um ficheiro de instalação normal. Na realidade, estão a infetar o seu computador com um carregador de malware.
No momento da redação deste artigo, este carregador está a tentar distribuir um programa de roubo de informações chamado ARC, capaz de obter palavras-passe guardadas no navegador, cookies, carteiras de criptomoedas, dados de preenchimento automático, detalhes do sistema e o conteúdo da área de transferência.
Mas também temos assistido à disseminação de outras cargas maliciosas, incluindo o Rhadamanthys Stealer, o trojan de acesso remoto assíncrono (RAT) e o Backdoor.XWorm, que podem alargar os danos do roubo de credenciais ao controlo remoto total do computador. Isso pode traduzir-se na apropriação de contas, fraude financeira, roubo de criptomoedas e um comprometimento mais grave dos dados pessoais ou profissionais.
O pior de tudo é que um utilizador pode não se aperceber de que está infetado até que os nomes de utilizador e as palavras-passe tenham sido roubados ou o computador comece a apresentar um comportamento estranho.
Como se manter seguro
A lição mais importante a reter aqui é que o software «grátis» pirateado é, muitas vezes, um meio de disseminação de malware, e não uma boa pechincha. Assim que um carregador como este está instalado no computador, o verdadeiro objetivo é, normalmente, roubar credenciais ou instalar um código malicioso secundário que seja mais persistente e mais prejudicial.
Outras recomendações gerais para se manter em segurança:
- Não descarregue programas de instalação de fontes não oficiais.
- Utilize proteção antimalware em tempo real e atualizada para bloquear os carregadores.
- Mantenha o seu software atualizado, especialmente as atualizações da Microsoft e outros programas relacionados com a segurança.
Se achas que o teu computador está infetado e queres ter a certeza, segue as instruções aqui publicadas. Os fantásticos voluntários dos nossos fóruns irão ajudar-te ao longo do processo de limpeza do teu computador.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
