Ilustração de cadeado vermelho, representando segurança
Campanhas de distribuição de malware passaram a ter público geral como alvo (Imagem: Vitor Pádua / Tecnoblog)

Criminosos estão usando páginas corporativas e propagandas para divulgar temas falsos do Windows. Os downloads escondem o malware SYS01, especialista em roubar senhas. A campanha foi identificada por pesquisadores da Trustwave, que também observaram o uso de nomes de programas que chamam a atenção, como o gerador de vídeos Sora e criadores de imagens 3D, para fisgar vítimas.

Os golpistas usam páginas recém-criadas ou sequestram existentes. No segundo caso, eles mudam os nomes para que eles se adequem ao assunto dos anúncios. Segundo a Trustwave, as contas eram administradas por indivíduos situados no Vietnã ou nas Filipinas. Várias das campanhas criadas pelos golpistas contêm milhares de anúncios. Somadas, elas passam de 10 mil propagandas.

Quatro exemplos de programas e jogos piratas falsos sendo anunciados no Facebook
Jogos e programas piratas também são iscas para roubar senhas (Imagem: Reprodução / Trustwave)

Não é a primeira vez que a rede social é usada em campanhas do tipo. Em fevereiro, a própria Trustware alertou sobre uma ação para distribuir o malware Ov3r_Stealer, também dedicado a roubar senhas. A Bitdefender também detectou ações similares, com roubo de páginas, que se passavam por projetos de inteligência artificial, visando capturar informações pessoais de usuários.

Criminosos mudam alvo de campanha de malware

Nesta campanha mais recente, ao clicar em um anúncio, o usuário é direcionado a páginas hospedadas no Google Sites ou na True Hosting, que fingem ser sites legítimos de download dos produtos promovidos. Nelas, a vítima corre risco de baixar um arquivo zipado, com o malware SYS01.

O SYS01 é conhecido desde 2022 e tem várias técnicas para escapar de mecanismos de detecção. O malware usa scripts de PHP para criar tarefas agendadas e roubar dados do navegador, como cookies, credenciais e histórico, além de carteiras de criptomoedas.

Além dessas informações, o programa malicioso também rouba informações da conta do Facebook, que provavelmente serão usadas em campanhas futuras de distribuição de malware.

“Desde a primeira vez que foi observado, em 2022, o malware SYS01 mudou seu método de distribuição, deixando de lado clickbaits de temas adultos e anúncios relacionados a jogos”, escrevem os pesquisadores. “A atual campanha representa uma ameaça maior e mostra a importância de estar atento ao que os usuários fazem nas redes sociais.”

Com informações: Bleeping Computer

Golpistas usam Facebook para anunciar temas falsos do Windows e roubar senhas