MADRID 14 abr. (Portaltic/EP) -
Um site fraudulento se passou pelo suporte técnico da Microsoft para induzir as vítimas a instalar uma atualização do Windows que inclui um 'malware' projetado para roubar senhas, dados bancários e credenciais de acesso a contas.
A campanha foi descoberta pela empresa de segurança Malwarebytes, que detectou um domínio da web com um erro ortográfico, apresentando um design idêntico ao do suporte oficial da Microsoft, onde era promovida a atualização cumulativa Windows 24H2.
A página incluía o botão para acessar a atualização e o número da Base de Conhecimento (KB). O que era instalado era um pacote “WindowsUpdate 1.0.0.msi” de 83 MB no qual aparentemente tudo era legítimo, compilado com o “WiX Toolset 4.0.0.5512”, uma estrutura de código aberto, conforme explicou a empresa em seu blog.
De fato, o Malwarebytes não detectou nenhuma ameaça em seus 69 motores antivírus e indicou que o “malware” estava dentro do código JavaScript incluído no aplicativo Electron, que é instalado ao executar o pacote msi.
Em seguida, era instalado um conjunto de pacotes Python que continham ferramentas de roubo de dados, como pycryptodome, psutil, pywin32 ou PythonForWindows. E para sobreviver à reinicialização do computador, ele atribuía um nome ao valor que se passava por Windows Health e criava um atalho do Spotify para ser executado quando o sistema fosse iniciado.
“A combinação de uma isca de phishing adaptada ao mercado local, um instalador MSI criado de forma legítima, um wrapper Electron e uma carga útil de Python implementada em tempo de execução mostra como os programas de roubo de dados estão evoluindo”, observam na Malwarebytes.
Diante desse tipo de ataque, a Malwarebytes recomendou verificar a chave do Registro, confirmar se o aplicativo do Spotify é o oficial, excluir arquivos temporários, alterar senhas salvas no navegador e ativar a autenticação em duas etapas.
Mas, acima de tudo, lembrou que a forma mais segura de atualizar o sistema operacional é através do menu de configurações do próprio Windows, evitando assim qualquer interferência externa.
Esta notícia foi traduzida por um tradutor automático