Pesquisadores de segurança da Bitdefender descobriram um novo malware que tem como alvo os usuários do Facebook e YouTube. Apelidado de S1ideload Stealer, essa campanha de malware rouba credenciais de login salvas de dispositivos infectados e tenta sequestrar as contas de mídia social do usuário. Ele também usa o dispositivo para minerar criptomoedas.
De acordo com a equipe de Controle Avançado de Ameaças (ATC) da Bitdefender, os agentes de ameaças por trás dessa campanha usam engenharia social e comentários do Facebook e do YouTube para induzir os usuários a baixar o malware em seus computadores. Eles enviam um executável legítimo e assinado digitalmente em arquivos (arquivos .zip) que vêm principalmente em nomes com temas adultos.
O próprio executável é nomeado de forma semelhante. Mas não contém o que aqueles que o baixam esperam. Em vez disso, ele carrega um código malicioso no momento em que clica nele.
O S1ideload Stealer depende de técnicas de sideload de DLL para evitar a detecção pelo antivírus do computador e outros sistemas de defesa, daí esse nome. Depois que o malware está ativo, ele se conecta ao servidor de comando e controle (C2) para permitir que os agentes de ameaças enviem comandos remotamente para ele.
Conforme detalhado pelo Bitdefender, o malware pode baixar e executar um navegador Chrome sem cabeça em segundo plano. Ele abre várias postagens no Facebook e vídeos do YouTube para aumentar artificialmente as visualizações sem o conhecimento da vítima.
Esse malware também pode implantar um ladrão para obter credenciais de login salvas. E se obtiver acesso a uma conta do Facebook, o malware pode analisar se a conta gerencia alguma página ou grupo, paga por anúncios ou se possui uma conta de gerente de negócios vinculada.
Isso ajuda os invasores a determinar o valor de uma conta, para que possam executar comandos de acordo. Por último, mas não menos importante, o S1ideload Stealer pode baixar e executar um minerador de criptomoeda. Os invasores usam o dispositivo da vítima para minerar a criptomoeda BEAM.
S1ideload Stealer infectou centenas de usuários no ano passado
A campanha de malware S1ideload Stealer está ativa desde pelo menos o ano passado e infectou centenas de usuários. A Bitdefender diz que “detectou mais de 600 usuários únicos infectados com este malware” nos últimos seis meses de 2022, ou seja, entre julho e dezembro.
Como qualquer um faria, a empresa de segurança incentiva os usuários a evitar o download de arquivos executáveis de fontes desconhecidas. Certifique-se sempre de estar ciente do que está instalando em seu computador.
“Os produtos Bitdefender detectam o S1deload Stealer em todos os estágios de execução. Encorajamos os usuários a nunca clicar em arquivos EXE baixados de fontes não confiáveis. Além disso, os usuários nunca devem ignorar alertas de software de segurança”, disse um pesquisador da Bitdefender em um post de blog (via). Se você quiser mergulhar em todos os detalhes técnicos sobre esta campanha de malware, você pode ler o whitepaper do Bitdefender aqui.