Novo malware para Windows esconde-se entre ativadores de programas pirata
De tempos a tempos surgem novas variantes de malware no mercado, focadas para os diferentes sistemas e que aproveitam falhas até agora desconhecidas. Um desses casos encontra-se no recentemente descoberto malware “SteelFox”.
Este malware foca-se em sistemas Windows, e pretende injetar processos maliciosos no mesmo, que podem ser usados para minerar criptomoedas e para roubar dados de cartões bancários do mesmo, de forma silenciosa.
O SteelFox aproveita os drivers do Windows para injetar um driver malicioso, que pode passar despercebido à maioria dos softwares de segurança, uma vez que atua numa área base do Windows.
O malware tem vindo a propagar-se em várias campanhas, mas sobretudo sobre sites de conteúdos piratas, como ativadores para diferentes softwares – como o Foxit PDF Editor e AutoCAD.
De acordo com os investigadores da empresa de segurança Kaspersky, o malware foi inicialmente descoberto com atividades em Agosto deste ano, mas é possível que tenha vindo a infetar sistemas desde meados de Fevereiro de 2023.
A maioria dos pontos de distribuição do malware partem de programas de ativação para diferentes softwares, que com a desculpa de serem usados para ativar os programas, acabam por instalar também o malware nos sistemas.
Quando os utilizadores abrem o programa, este acaba por instalar o driver malicioso no Windows, que permite aos atacantes obterem as permissões necessárias para realizar as suas atividades maliciosas. De forma a evitar a deteção, os ativadores usados para instalar o malware podem realmente ativar o software pirata no sistema.
O malware procede com uma ligação remota a servidores em controlo dos atacantes, de onde são enviados e recebidos os comandos necessários para os ataques. Estes comandos podem ser enviados pelos atacantes para realizar o mais variado número de atividades no sistema, mas nomeadamente para instalar mineradores de criptomoedas e levar ao roubo de cartões bancários e dados de login.
Este malware encontra-se particularmente ativo no Brasil, China, Rússia, México e India, mas pode infetar virtualmente qualquer sistema onde os utilizadores tenham usado fontes piratas para descarregar software popular.