Desde que estou na internet, fui avisado para não baixar nada sem verificar primeiro, especialmente se for um programa ou executável. É tão verdadeiro hoje quanto naquela época, apenas as ameaças se intensificaram. Por exemplo, uma versão modificada do popular gerenciador de senhas KeePass foi vista espalhando ransomware.
Usando um truque antigo, os hackers criaram novos sites com URLs "squatter" que parecem próximos o suficiente do site KeePass genuíno em KeePass.info. Nos sites falsos, a interface imita a genuína quase com perfeição, oferecendo downloads do gerenciador de senhas. Mas, de acordo com uma investigação da WithSecure, os hackers não apenas serviram esses sites falsos como uma forma de entregar seu malware típico. Não, eles modificaram o próprio programa KeePass de código aberto e assinaram o pacote com o certificado legítimo para torná-lo real.
A versão infectada opera normalmente como um gerenciador de senhas, mas nos bastidores está roubando suas informações de login e senha, instalando a carga útil do ransomware e proliferando para qualquer outra máquina compatível em sua rede. Uma vez ativadas, as máquinas afetadas são criptografadas remotamente, permitindo que os hackers roubem quantos dados quiserem e extorquem anonimamente o pagamento de um resgate.
Os programas KeePass falsos foram carregados em vários URLs que eram basicamente versões de erro de digitação do real. O BleepingComputer relata que os sites falsos foram promovidos usando anúncios no mecanismo de pesquisa Bing da Microsoft, o padrão para Windows e o navegador Edge. Esta não é a primeira vez que um mecanismo de pesquisa luta contra a disseminação de malware por meio de anúncios pagos. Mas não parece razoável esperar que os usuários regulares sejam cautelosos com os anúncios veiculados por essas empresas autorizadas – a responsabilidade pela devida diligência deve recair sobre as pessoas que vendem o espaço publicitário, que aparentemente carecem de técnicas de mitigação de ameaças.
Comentários