Analistas descobriram um novo malware chamado “FakeCrack”, que pode roubar senhas e dados financeiros infectando computadores Windows. Pesquisadores da Avast disseram que o malware pode entrar nos dispositivos por meio dos resultados de pesquisa do Google, que afirmam ser a versão pirata de software como o CCleaner Professional.
A maior parte das vítimas desse malware do Windows pertence à França, Brasil, Indonésia e Índia
A Avast detectou pelo menos 10.000 tentativas de infecção por dia, em média, por meio de seus dados de telemetria de clientes. Esse malware também tem o potencial de roubar informações de suas carteiras de criptografia. A equipe Avast reivindicações que a maioria das vítimas do FakeCrack pertence à França, Brasil, Indonésia e Índia.
O malware FakeCrack pode coletar os dados financeiros do usuário, bem como ativos criptográficos, e direcionar o tráfego da Internet por meio de proxies. Como BleepingComputador observa, o malware chega ao topo dos resultados de pesquisa usando os métodos Black Hat SEO. Ao preencher os primeiros resultados de pesquisa, os invasores podem enganar usuários desavisados para que baixem malware em seus computadores.
Avast encontrou malware escondido sob uma versão pirata/crackeada do CCleaner Professional. No entanto, o FakeCrack também imitou serviços como o Movavi Video Editor e o Microsoft Office para atrair vítimas. Os aplicativos/serviços falsos são promovidos com palavras-chave como “ativador de produto”, “chave serial” e “crackeado”.
Clicar no resultado da pesquisa maliciosa leva os usuários por várias páginas, eventualmente solicitando aos usuários que baixem um arquivo ZIP. Os invasores usam sites já conhecidos dos usuários, como MediaFire ou FileSend. Isso dá à operação uma sensação de legitimidade enquanto engana mais pessoas para que sejam presas.
Os invasores também são sábios o suficiente para proteger com senha o arquivo ZIP. Isso os ajuda a ignorar quaisquer recursos de detecção de antivírus no computador. A senha do arquivo ZIP geralmente é tão simples quanto “1234”.
Quando a vítima atingir esse estágio, ela identificará um arquivo chamado cracksetup.exe ou setup.exe. No entanto, a Avast diz que viu oito variações dos nomes de arquivos .exe, tornando a detecção muito mais difícil.
O FakeCrack pode até roubar o conteúdo que você copiou na área de transferência
Além de roubar todas as suas informações financeiras, esse malware também pode obter o conteúdo da sua área de transferência. Além disso, ele pode substituir qualquer endereço de carteira que você copiar para a área de transferência por endereços que estejam sob o controle do invasor.
Com a nova campanha de malware se espalhando rapidamente, os usuários devem evitar temporariamente o download de arquivos de fontes desconhecidas. Como aprendemos neste caso, mesmo os principais resultados da Pesquisa Google não são confiáveis.