Recentemente, foi descoberta uma campanha de cibersegurança que utiliza uma versão adulterada do popular compressor de ficheiros 7-Zip para comprometer sistemas Windows. Através de um site fraudulento, os atacantes conseguem instalar software malicioso que transforma o computador da vítima num nó de uma rede de proxy residencial, permitindo que terceiros utilizem a ligação à internet do utilizador para atividades ilícitas.
O perigo escondido no instalador fraudulento
O esquema começa com o registo de domínios que imitam quase na perfeição o site oficial do projeto. Segundo informações avançadas pelo BleepingComputer, o site malicioso copia a estrutura e o texto do portal legítimo, enganando utilizadores que chegam até ele através de tutoriais no YouTube ou resultados de pesquisa.
Embora o instalador forneça as funções normais do 7-Zip para não levantar suspeitas, ele instala silenciosamente três ficheiros maliciosos no diretório do sistema. Estes componentes criam um serviço no Windows que corre com privilégios elevados e modificam as regras da firewall para permitir ligações de entrada e saída, garantindo que o malware permanece ativo sempre que o computador é ligado.
Uma rede de proxy residencial em larga escala
Uma análise detalhada realizada pela empresa de segurança Malwarebytes revelou que o objetivo principal deste software não é o roubo imediato de dados, mas sim o recrutamento do sistema para uma rede de "proxyware". Ao tornar-se um nó nesta rede, o endereço IP da vítima passa a ser utilizado por outros para encaminhar tráfego, o que pode servir para ocultar ataques de phishing, distribuição de malware ou tentativas de acesso forçado a contas.
Os investigadores descobriram que esta campanha é mais vasta do que se pensava inicialmente, utilizando também instaladores modificados de outras aplicações populares, como o WhatsApp e o TikTok. O malware utiliza técnicas avançadas para evitar a deteção, verificando se está a correr em máquinas virtuais e utilizando protocolos de comunicação cifrados para comunicar com os servidores de comando e controlo.
Para evitar cair nestas armadilhas, os especialistas recomendam que os utilizadores evitem clicar em links fornecidos em descrições de vídeos ou resultados patrocinados, optando sempre por verificar o domínio oficial das ferramentas que pretendem descarregar.
Gostaria que eu analisasse se algum dos seus dispositivos apresenta sinais de comportamento suspeito na rede ou que ajudasse a verificar a autenticidade de um site de downloads?
Nenhum comentário
Seja o primeiro!