Usar jogos ou aplicativos crackeados para espalhar malwares é um dos truques mais antigos dos cibercriminosos. Por incrível que pareça, em 2024, ainda existem vítimas ingênuas que acreditam em agir como Robin Hood e consideram que baixar softwares e jogos crackeados de sites piratas é absolutamente seguro. O tipo de ameaça em si pode ser antigo, mas os agentes maliciosos continuam criando novas formas de burlar a segurança nos computadores das vítimas para entregar malware.
Recentemente, descobrimos uma nova campanha desse tipo que visa computadores Apple que executam versões mais recentes do macOS (13.6 e posterior) e aproveitam determinados recursos do Sistema de Nomes de Domínio (DNS) para baixar conteúdos maliciosos. As vítimas recebem uma proposta para baixar gratuitamente versões crackeadas de aplicativos populares. Podemos imaginar o que acontece depois, não?
Ativação falsa
Depois de baixar uma imagem de disco que supostamente contém o aplicativo crackeado, a vítima recebe a instrução para copiar dois arquivos na pasta Aplicativos: o próprio aplicativo e o chamado “ativador”. Se o aplicativo for apenas copiado e iniciado, ele não será executado. De acordo com o manual, o aplicativo crackeado deve ser “ativado” primeiramente. Nossa análise descobriu que o ativador não faz nada sofisticado: ele simplesmente remove vários bytes do início do executável do aplicativo para torná-lo funcional. Em outras palavras, os cibercriminosos modificaram um aplicativo previamente crackeado para impedir que ele seja executado, a menos que seja “ativado” primeiramente. Sem surpresas para ninguém, o ativador tem um efeito colateral grave: ele solicita permissões administrativas quando é executado para instalar um script de download no sistema. Então, o script baixa da Web o conteúdo adicional: um backdoor que solicita comandos de seus operadores de vez em quando.
Conexão via DNS
Para baixar o script malicioso, o ativador emprega uma ferramenta não usual e aparentemente inocente: o Sistema de Nomes de Domínio (DNS). Escrevemos anteriormente sobre o DNS e o DNS seguro, mas deixamos de fora um recurso técnico interessante do serviço. Cada registro DNS vincula não apenas o nome da Internet de um servidor com o respectivo endereço IP, mas também pode conter uma descrição de texto do servidor em formato livre, chamada de registro TXT. Isso é o que os agentes maliciosos exploraram ao integrar snippets de código malicioso nos registros TXT. O ativador baixa três registros TXT pertencentes a um domínio malicioso e monta um script a partir deles.
A configuração tem uma série de vantagens, ainda que seja aparentemente complicada. Para começar, o ativador não faz nada particularmente suspeito: qualquer aplicativo da Web solicita registros DNS e é assim que qualquer sessão de comunicação deve começar. Em segundo lugar, os agentes maliciosos podem atualizar facilmente o script para modificar o padrão de infecção e o conteúdo final ao editar os registros TXT do domínio. E, finalmente, remover conteúdo malicioso da Web não é uma tarefa fácil devido à natureza distribuída do Sistema de Nomes de Domínio. Os provedores de serviços de Internet e as empresas achariam difícil até mesmo detectar a violação de suas políticas porque cada um desses registros TXT é apenas um snippet de código malicioso que não representa nenhuma ameaça por si só.
O último e mais difícil desafio
O script de download executado periodicamente permite que os invasores atualizem o conteúdo malicioso e executem as ações que quiserem no computador da vítima. No momento de nossa análise, eles mostraram interesse em roubar criptomoedas. O backdoor verifica automaticamente o computador da vítima em busca de carteiras Exodus ou Bitcoin, e as substitui por versões infectadas por trojans. Uma carteira Exodus infectada rouba a frase inicial do usuário e uma carteira Bitcoin infectada rouba a chave de criptografia usada para criptografar chaves privadas. A última ação dá aos invasores a capacidade de assinar transferências em nome da vítima. É assim que uma pessoa pode tentar economizar algumas dezenas de dólares em aplicativos piratas, apenas para perder uma quantia muito maior em criptografia.
Proteção contra um ataque a carteiras de criptomoedas
Isso não é novidade, mas ainda é verdade: para ficar longe dessa ameaça e não se tornar uma vítima, baixe os aplicativos apenas das lojas de aplicativos oficiais. Antes de baixar um aplicativo do site de um desenvolvedor, verifique e confirme se o item é original e não de um dos muitos sites de phishing.
Caso esteja pensando em baixar uma versão crackeada de um aplicativo, pense duas vezes antes de fazer isso. Sites piratas “escrupulosos e confiáveis” são tão raros quanto elfos e unicórnios.
Não importa o quanto você considere ter um excelente conhecimento de informática, cautela e muita atenção aos detalhes. Não se esqueça de usar segurança abrangente em todos os seus dispositivos: telefones, tablets e computadores. O Kaspersky Premium é uma boa solução multiplataforma. Verifique se todos os recursos de segurança básicos e avançados estão ativados. Quanto aos proprietários de criptomoedas, além das instruções mencionadas acima, sugerimos a leitura de nossas instruções detalhadas sobre como proteger carteiras de criptomoedas hot e cold.