Malware Password Stealer armazenado no Google Drive sendo entregue a usuários do Steam online

Malware Password Stealer armazenado no Google Drive sendo entregue a usuários do Steam online

Um malware que visa roubar as credenciais dos usuários do STEAM surgiu recentemente. Este malware está sendo espalhado através do recurso de chat do serviço.

Ele pede aos usuários que cliquem em um link que é encurtado usando os serviços de encurtamento disponíveis na internet.

Quando o usuário clica nele, é direcionado para um arquivo armazenado no Google Drive. O arquivo parece ser um arquivo de imagem, completo com um ícone de imagem. Este arquivo, na verdade, é um executável e roubará suas credenciais do Steam assim que for executado.

Tabela de Conteúdos

• Ataque Óbvio
• Aparentemente, é muito óbvio

Ataque Óbvio

Se você está familiarizado com malwares, esse processo soaria como o truque mais óbvio do livro.

Isso porque é. Mas se estamos reportando isso, mostra que às vezes até os ataques mais óbvios podem ter vítimas. A maioria dos gamers está ciente de tais ataques de malware e permanece sempre vigilante o suficiente para se manter longe de sites maliciosos.

Mas, às vezes, as pessoas tendem a cair na armadilha, como aconteceu neste caso muitas vezes.

Como mencionado acima, a maioria dos gamers está ciente dos links carregados de malware que estão sendo enviados nos chats. Muitas vezes, os links se tornam motivo de piada no chat do Steam porque muitos gamers estão cientes disso. Aqui está um exemplo de um deles.

Bart Blaze, pesquisador de malware da Panda Security, que analisou a amostra e forneceu uma visão técnica em um post de blog no domingo, explica que o link malicioso prossegue para baixar um arquivo de protetor de tela (extensão SCR), que é um executável, do Google Drive; o SCR pretende ser uma imagem e até tem uma imagem como ícone do arquivo.

“Note que normalmente, o aplicativo Google Drive Viewer será exibido e isso permitirá que você baixe o arquivo .scr. Neste caso, a string ‘&confirm=no_antivirus’ é adicionada ao link, o que significa que o arquivo aparecerá imediatamente perguntando o que fazer: Executar ou Salvar. (e em alguns casos, baixar automaticamente),” ele escreve.

Aparentemente, é muito óbvio

Agora para a parte das boas notícias. Este ataque parece ser tão conhecido que a maioria dos antivírus disponíveis é conhecida por proteger contra ele.

A maioria das soluções de antivírus respeitáveis o detecta e impede seu download no computador. 37 de 55 motores antivírus no VirusTotal não têm problemas em colocá-lo em quarentena imediatamente.

Na análise do pesquisador, é observado que o malware se conecta a um servidor hospedado na República Tcheca, onde as informações roubadas provavelmente são carregadas.

Sinais de que as informações de login da conta Steam foram comprometidas por meio desta ameaça consistem na presença de um processo chamado “temp.exe,” “wrrrrrrrrrrrr.exe,” “vv.exe,” ou um com um nome aleatório rodando no sistema; isso pode ser verificado com o Gerenciador de Tarefas.

Nenhuma ação parece ter sido tomada contra este malware, pois o arquivo ainda existe no serviço de armazenamento em nuvem do Google. Esta é a única razão pela qual os usuários do Steam podem pensar que é legítimo e cair na armadilha do malware.