A Microsoft emitiu um alerta sobre uma campanha maliciosa que afetou quase 1 milhão de dispositivos em todo o mundo, com origem em sites de filmes piratas. Esta ação utiliza anúncios maliciosos que redirecionam usuários para páginas carregadas de malware, o qual pode roubar informações sensíveis e controlar os sistemas comprometidos.
O relatório da Microsoft revela que a campanha foi detectada no início de dezembro de 2024 e impactou uma variedade de organizações e indústrias, atingindo tanto dispositivos pessoais quanto corporativos. O ataque não se limitou a alvos específicos, mas tinha como objetivo infectar o maior número possível de usuários.
Essa situação serve de alerta para os riscos associados ao uso de sites de conteúdo pirateado, que muitas vezes são utilizados como fachada por cibercriminosos para realizar ataques e expor os usuários a sérios riscos de segurança.
Cadeia de redirecionamento sofisticada
A análise feita pela Microsoft revelou que a campanha de malvertising utilizava uma complexa cadeia de redirecionamento para infectar as vítimas. O processo começava em sites de streaming ilegais, como movies7[.]net e 0123movie[.]art, que continham anúncios maliciosos dentro dos vídeos. Quando os usuários clicavam nesses anúncios, eram encaminhados para sites que se disfarçavam de suporte técnico, mas que, na verdade, redirecionavam para páginas no GitHub, Discord e Dropbox, onde o malware estava hospedado.
Os atacantes implementaram estratégias de ocultação ao utilizar certificados de software legítimos, além de incluir arquivos legítimos junto à carga maliciosa. Segundo a Microsoft, "Até meados de janeiro de 2025, as cargas iniciais descobertas foram assinadas digitalmente com um certificado recém-criado. Um total de 12 certificados diferentes foram identificados, todos os quais foram revogados".
O funcionamento do malware
Uma vez que o malware conseguia invadir o sistema da vítima, utilizava scripts em PowerShell, JavaScript e AutoIT, além de binários legítimos do sistema, por meio de uma técnica conhecida como Living Off The Land. Esses métodos ajudavam o malware a se comunicar com servidores de comando e controle, permitindo a exfiltração de dados sensíveis.
Processo de ataque em múltiplos estágios
Após a contaminação do sistema, o malware seguia um processo de ataque com diversas etapas:
- Estabelecimento de acesso inicial através da carga hospedada no GitHub
- Coleta de informações e exfiltração de dados do sistema
- Execução de comandos e entrega de cargas adicionais
- Configuração de exclusões no Microsoft Defender e download de dados de servidores remotos
Essa estrutura deixava os usuários extremamente vulneráveis, pois o malware podia coletar informações detalhadas sobre o sistema, como a memória, a placa gráfica, a resolução da tela e a versão do sistema operacional. O acesso a dados sensíveis do navegador também era possível, incluindo senhas salvas, histórico de navegação e cookies.
Riscos adicionais e controle remoto
Em situações mais severas, o malware poderia instalar ferramentas de acesso remoto, como o NetSupport RAT, concedendo aos atacantes o controle completo do dispositivo afetado. Isso habilitava ações como captura de teclas, monitoramento de atividades em tempo real e a instalação de novos malwares.
Medidas de proteção recomendadas
Com quase 1 milhão de dispositivos comprometidos, a disseminação desse malware apresenta uma ameaça significativa. Para se proteger, é essencial evitar sites de conteúdo pirata e ser cauteloso ao clicar em anúncios online. Além disso, é crucial manter sistemas e softwares de segurança sempre atualizados; a Microsoft sugere as seguintes práticas:
- Habilitar a proteção contra adulteração no Microsoft Defender
- Ativar a proteção de rede e prevenção de ameaças na web
- Implementar autenticação multifator
- Utilizar métodos de autenticação seguros contra phishing, como tokens FIDO
- Optar por navegadores que suportem o Microsoft Defender SmartScreen
Caso haja suspeita de comprometimento do sistema, recomenda-se a realização de uma varredura completa utilizando um antivírus atualizado e, se necessário, a reinstalação do sistema operacional. Em ambientes corporativos, a equipe de TI deve ser notificada imediatamente para conduzir uma investigação detalhada.
A Microsoft segue monitorando continuamente essa ameaça e enfatiza a importância de que os usuários fiquem informados sobre as últimas atualizações de segurança. Ao seguir as orientações de proteção e evitar conteúdos pirateados, o risco de se tornar uma vítima de ataques como esse pode ser substancialmente reduzido.
Leia também: