A equipe de segurança da Microsoft emitiu um alerta nesta quinta-feira (6) sobre uma campanha maliciosa de grande escala que infectou quase 1 milhão de dispositivos em todo o mundo. A ação teve origem em dois sites de filmes piratas, que utilizavam anúncios maliciosos para redirecionar usuários para páginas contendo malware capaz de roubar informações sensíveis e assumir o controle remoto dos sistemas comprometidos.
- Novo malware BackConnect usa Microsoft Teams para roubar dados sigilosos
- Botnet Vo1d infecta 1,6 milhão de dispositivos Android TV; 25% estão no Brasil
De acordo com o relatório da Microsoft, a campanha foi detectada no início de dezembro de 2024 e impactou uma ampla gama de organizações e indústrias, afetando tanto dispositivos de consumidores quanto corporativos. Isso destaca a natureza indiscriminada do ataque, que não mirava alvos específicos, mas tinha objetivo de infectar o maior número possível de vítimas.
O caso é um alerta para os perigos de utilizar sites de conteúdo pirateado, que frequentemente servem de fachada para cibercriminosos distribuírem diversos tipos de ataques e expor os usuários a graves riscos de segurança.
–
Entre no Canal do WhatsApp do e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Malware usava técnicas avançadas de acobertamento
A campanha de malvertising descoberta pela Microsoft empregava uma sofisticada cadeia de redirecionamento para infectar as vítimas. Tudo começava nos sites de streaming ilegal movies7[.]net e 0123movie[.]art, que continham anúncios maliciosos embutidos nos frames dos vídeos. Ao clicar nesses anúncios, o usuário era redirecionado para sites intermediários que se passavam por suporte técnico, mas que na verdade encaminhavam para páginas no GitHub, Discord e Dropbox contendo o malware.
Para evitar detecção, os atacantes usavam certificados de software legítimos e entregavam alguns arquivos legítimos junto com a carga inicial maliciosa. “Até meados de janeiro de 2025, as cargas iniciais descobertas foram assinadas digitalmente com um certificado recém-criado. Um total de 12 certificados diferentes foram identificados, todos os quais foram revogados”, informou a Microsoft.
O malware fazia uso extensivo de repositórios do GitHub como plataforma principal para hospedar essas cargas maliciosas. Isso permitia que os atacantes abusassem da confiança dos usuários em serviços amplamente utilizados e respeitados. Além disso, o uso do Discord e Dropbox como hospedeiros alternativos demonstra como os criminosos exploravam serviços populares na nuvem para distribuir o malware.
Uma vez no sistema da vítima, o malware utilizava scripts em PowerShell, JavaScript e AutoIT, além de binários legítimos do sistema (técnica conhecida como Living Off The Land) como PowerShell.exe, MSBuild.exe e RegAsm.exe para estabelecer comunicação com servidores de comando e controle e exfiltrar dados sensíveis.
Riscos para usuários infectados
Após infectar um sistema, o malware seguia uma cadeia de ataque em múltiplos estágios:
- Estabelecimento de acesso inicial através da carga hospedada no GitHub
- Reconhecimento do sistema, coleta de informações e exfiltração de dados
- Execução de comandos, entrega de cargas adicionais, evasão de defesas, estabelecimento de persistência e comunicações de comando e controle
- Configuração de exclusões no Microsoft Defender e download de dados adicionais de servidores remotos
Com essa estrutura, os usuários infectados ficavam extremamente vulneráveis, já que o malware conseguia coletar informações detalhadas sobre o sistema, como tamanho da memória, detalhes da placa gráfica, resolução da tela e versão do sistema operacional. Além disso, podia acessar e exfiltrar dados sensíveis do navegador, incluindo senhas salvas, histórico de navegação e cookies.
Em casos mais graves, o malware instalava ferramentas de acesso remoto como o NetSupport RAT, permitindo que os atacantes assumissem o controle total do dispositivo comprometido. Isso possibilitava ações como captura de teclado, monitoramento da atividade do usuário em tempo real e até mesmo a instalação de malwares adicionais.
Técnicas de prevenção e mitigação
Com quase 1 milhão de dispositivos infectados globalmente, o potencial de disseminação desse malware é enorme. Para se proteger contra ameaças similares, os usuários devem evitar sites de conteúdo pirateado e ter cautela ao clicar em anúncios online.
Além disso, é fundamental manter sistemas e softwares de segurança atualizados. A Microsoft recomenda especificamente:
- Habilitar a proteção contra adulteração no Microsoft Defender
- Ativar a proteção de rede e proteção na web
- Implementar autenticação multifator
- Utilizar métodos de autenticação resistentes a phishing como tokens FIDO
- Usar navegadores que suportem o Microsoft Defender SmartScreen
Se suspeitar que seu sistema foi comprometido, execute uma varredura completa com um antivírus atualizado e considere reinstalar o sistema operacional. Em ambientes corporativos, notifique imediatamente a equipe de TI para uma investigação aprofundada.
A Microsoft continua monitorando ativamente essa ameaça e recomenda que os usuários se mantenham informados e atentos às últimas atualizações de segurança. Ao seguir as orientações de proteção e evitar conteúdo pirateado, é possível reduzir significativamente o risco de se tornar vítima de ataques como este.
Leia mais no :
- Alerta: botnet massiva ataca contas Microsoft 365 no Brasil e no mundo
- Hackers chineses miram 12 mil roteadores Cisco em novos ataques; proteja-se
- Wi-Fi público é perigoso? Entenda o risco de usar redes abertas
Como proteger seus dados em redes Wi-Fi públicas? Descubra no vídeo a seguir:
Leia mais matérias no ItechNews .
