Uma simples mensagem no Discord a pedir para testar um jogo indie pode parecer um pedido inofensivo de um programador entusiasta, mas é o isco de uma nova e perigosa campanha de malware que está a visar a comunidade de jogadores. O alerta foi deixado pela empresa de cibersegurança Malwarebytes, que detalha como os atacantes exploram a confiança entre jogadores e criadores de jogos independentes.
O ataque começa de forma subtil, através de uma mensagem direta numa plataforma como o Discord, muitas vezes enviada a partir de uma conta comprometida para aumentar a credibilidade. A mensagem convida a vítima a testar um jogo, usando nomes de projetos legítimos, como o Archimoulin, para parecer autêntica.
Como funciona a armadilha
O link enviado na mensagem não leva à plataforma oficial Itch.io, um popular site de jogos indie. Em vez disso, redireciona o utilizador para uma página falsa, alojada em subdomínios do Blogspot ou em serviços na nuvem, que imita na perfeição o design do Itch.io para parecer legítima.
Para tornar a fraude ainda mais perigosa, algumas variantes incluem uma página de login falsa do Discord. O objetivo é duplo: não só infetar o computador da vítima com malware, mas também roubar as suas credenciais de acesso, permitindo que os atacantes usem a conta para espalhar a ameaça a ainda mais pessoas.
O executável silencioso e destrutivo
Ao clicar no botão de download na página falsa, a vítima não descarrega o jogo, mas sim um ficheiro executável, frequentemente chamado "Setup Game.exe". O grande perigo reside no que acontece a seguir: o programa é executado sem mostrar qualquer interface, como uma janela de instalação ou uma barra de progresso, agindo de forma totalmente silenciosa para ocultar as suas intenções maliciosas.
Nos bastidores, o executável inicia um processo complexo. Utiliza o PowerShell com comandos codificados para evitar a deteção imediata, executando o código malicioso diretamente na memória do sistema. Esta técnica dificulta a sua identificação por soluções antivírus baseadas em ficheiros. Para completar, o malware usa um truque de .NET para manter a janela do PowerShell oculta. Para impedir que o utilizador investigue o que está a acontecer, o programa força o encerramento dos navegadores mais populares, como o Chrome, Brave, Firefox, Edge e Opera.
Um malware paciente que espera pelo momento certo
Este software malicioso não ataca de imediato. Funciona como um "stager", um tipo de malware que prepara o terreno para a infeção principal. Antes de descarregar a sua carga final, realiza várias verificações no sistema, como consultas ao registo e análises à BIOS e à rede, para garantir que não está a ser executado num ambiente de testes (sandbox).
Quando as condições são consideradas seguras, o malware descarrega o seu payload final, que pode incluir backdoors (que dão acesso remoto ao sistema), keyloggers (para roubar palavras-passe) ou até software de mineração de criptomoedas, que utiliza os recursos do computador da vítima para gerar lucro para os atacantes.
Fui infetado. E agora?
Segundo a Malwarebytes, quem executou um ficheiro deste tipo deve agir rapidamente. O primeiro passo é, a partir de um dispositivo seguro, alterar todas as palavras-passe importantes, especialmente do Discord, email e Steam, e ativar a autenticação de dois fatores. É também crucial terminar sessão em todas as contas, revogar o acesso de aplicações autorizadas e desligar imediatamente o PC infetado da rede.
Os sinais de alerta incluem receber mensagens diretas inesperadas com links para jogos, um instalador que não mostra qualquer interface gráfica, o encerramento súbito do seu navegador ou o aparecimento de pastas desconhecidas no sistema. Dada a natureza da ameaça, a recomendação mais segura para quem foi afetado é realizar uma reinstalação completa do Windows para garantir a remoção total do malware.
Nenhum comentário
Seja o primeiro!