Novo malware para Windows esconde-se entre ativadores de programas pirata

Malware em computador

De tempos a tempos surgem novas variantes de malware no mercado, focadas para os diferentes sistemas e que aproveitam falhas até agora desconhecidas. Um desses casos encontra-se no recentemente descoberto malware “SteelFox”.

Este malware foca-se em sistemas Windows, e pretende injetar processos maliciosos no mesmo, que podem ser usados para minerar criptomoedas e para roubar dados de cartões bancários do mesmo, de forma silenciosa.

O SteelFox aproveita os drivers do Windows para injetar um driver malicioso, que pode passar despercebido à maioria dos softwares de segurança, uma vez que atua numa área base do Windows.

O malware tem vindo a propagar-se em várias campanhas, mas sobretudo sobre sites de conteúdos piratas, como ativadores para diferentes softwares – como o Foxit PDF Editor e AutoCAD.

De acordo com os investigadores da empresa de segurança Kaspersky, o malware foi inicialmente descoberto com atividades em Agosto deste ano, mas é possível que tenha vindo a infetar sistemas desde meados de Fevereiro de 2023.

A maioria dos pontos de distribuição do malware partem de programas de ativação para diferentes softwares, que com a desculpa de serem usados para ativar os programas, acabam por instalar também o malware nos sistemas.

Quando os utilizadores abrem o programa, este acaba por instalar o driver malicioso no Windows, que permite aos atacantes obterem as permissões necessárias para realizar as suas atividades maliciosas. De forma a evitar a deteção, os ativadores usados para instalar o malware podem realmente ativar o software pirata no sistema.

O malware procede com uma ligação remota a servidores em controlo dos atacantes, de onde são enviados e recebidos os comandos necessários para os ataques. Estes comandos podem ser enviados pelos atacantes para realizar o mais variado número de atividades no sistema, mas nomeadamente para instalar mineradores de criptomoedas e levar ao roubo de cartões bancários e dados de login.

Este malware encontra-se particularmente ativo no Brasil, China, Rússia, México e India, mas pode infetar virtualmente qualquer sistema onde os utilizadores tenham usado fontes piratas para descarregar software popular.