O McAfee Labs identificou recentemente um aumento nas campanhas fraudulentas que utilizam links falsos de vídeos populares para enganar usuários e induzi-los a baixar softwares maliciosos. O golpe se apoia na engenharia social, direcionando as vítimas por diversas páginas fraudulentas antes de entregar o código malicioso. Os usuários são seduzidos com promessas de acesso a conteúdos exclusivos, levando-os a sites enganosos e downloads suspeitos.
Análise
1. Ao abrir o arquivo PDF, a página exibida parece ser parte de um esquema de fraude que se aproveita da curiosidade sobre um “vídeo viral” para induzir usuários a acessarem links duvidosos. O documento contém um hiperlink azul rotulado como “Assistir ➤ Clique aqui para acessar (link completo do vídeo viral)”, acompanhado de uma imagem simulando um reprodutor de vídeo, dando a falsa impressão de que o conteúdo pode ser assistido diretamente.
2. O usuário que clica em “Assistir ➤ Clique aqui para acessar (link de vídeo viral completo)” é redirecionado para um site (gitb.org) que exibe um suposto “vídeo vazado”, além de uma grande quantidade de anúncios intrusivos e notificações falsas para enganar os visitantes. A página promove conteúdos adultos, jogos de azar e botões de download enganosos — sinais comuns de tentativas de fraude ou disseminação de malware.
3. O usuário é então direcionado para a URL maliciosa “hxxps[:]//purecopperapp.monster/indexind.php?flow_id=107&aff_click_id=D-21356743-1737975550-34G123G137G124-AITLS2195&keyword=Yourfile&ip=115.118.240.109&sub=22697121&source=157764”.
4. Posteriormente, ocorre outro redirecionamento para: “hxxps[:]//savetitaniumapp.monster/?t=d6ebff4d554677320244f60589926b97”, que contém um link protegido por senha hospedado no Mega.nz, exigindo que o usuário copie e cole a URL manualmente.
5. Acessando a URL, o site exibe uma tela de carregamento enquanto prepara o arquivo malicioso para download, liberando um arquivo nomeado 91.78.127.175.zip, com tamanho de 26,7 MB.
6. O arquivo é baixado e armazenado na pasta de downloads do dispositivo.
7. O arquivo ZIP (91.78.127.175.zip) contém um arquivo .7z protegido por senha, junto com uma imagem .png onde a senha está armazenada.
8. Após a extração, o arquivo .7z contém um instalador chamado setup.msi, que representa a carga maliciosa do golpe.
Execução
Após a execução do setup.msi, o malware:
1. Apresenta uma imagem CAPTCHA para enganar os usuários. Ao clicar em “OK”, ele inicia a instalação de arquivos no diretório %Roaming%.
2. Armazena arquivos no diretório %Roaming%.
Execução de Processos e Comandos
Árvore de Processos
Comandos Executados
C:\Windows\system32\msiexec.exe /V
C:\Windows\syswow64\MsiExec.exe -Incorporação B8B3D9D8EE75B04B6E518D4C8B1DA31A
“C:\Usuários*\AppData\Roaming\Toiap Corp Solus\Kowi SApp\UnRar.exe” x -p156427613t -o+ “C:\Usuários*\AppData\Roaming\Toiap Corp Solus\Kowi SApp\iwhgjds.rar” “C:\Usuários*\AppData\Roaming\Toiap Corp Solus\Kowi SApp\” \??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 “C:\Usuários*\AppData\Roaming\Toiap Corp Solus\Kowi SApp\obs-ffmpeg-mux.exe”
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
C:\Windows\SysWOW64\explorer.exe explorador.exe
powershell -windowstyle oculto -e ==
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
C:\Windows\system32\WerFault.exe -u -p 3064 -s 316
“C:\Usuários**\AppData\Roaming\Toiap Corp Solus\Kowi SApp\createdump.exe”
\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1
C:\Windows\system32\svchost.exe -k wsappx -p -s AppXSvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\WerFault.exe -pss -s 432 -p 3064 -ip 3064
Leia também
Detecção e Prevenção
O McAfee bloqueia essa cadeia de infecção em diferentes etapas, incluindo a interceptação de URLs associadas a páginas fraudulentas de vídeos.
Conclusão e Recomendações
Essa campanha demonstra como criminosos digitais exploram táticas de engenharia social e o fenômeno do clickbait para disseminar ameaças cibernéticas. Para evitar ser vítima desse tipo de golpe, a McAfee recomenda:
• Não clique em links suspeitos enviados por e-mails, redes sociais ou mensagens prometendo conteúdos exclusivos ou vazados.
• Verifique a procedência dos arquivos antes de baixá-los, conferindo a legitimidade do domínio e utilizando ferramentas de segurança para análise.
• Mantenha as atualizações de segurança ativadas para garantir a proteção contra as ameaças mais recentes.
• Utilize o McAfee Web Protection para impedir o acesso a páginas reconhecidamente perigosas.
Indicadores de Comprometimento (IoCs)
Lista de Hash SHA-256
• 00001c98e08fa4d7f4924bd1c375149104bd4f1981cef604755d34ca225f2ce1
• 000e75287631a93264d11fc2b773c61992664277386f45fa19897a095e6a7c81
• 52c606609dab25cdd43f831140d7f296d89f9f979e00918f712018e8cc1b6750
• 00539e997eb6ae5f6f7cb050c3486a6dfb901b1268c13bdfeeec5b776bf81c1e
• 0047d7a61fd9279c9fba9a604ed892e4ec9d732b10c6562aab1938486a538b7d
Sites de Redirecionamento
• hxxps[:]//gitb.org/watch-click/?=arquivo
• hxxps[:]//viralxgo.com/assistir-video-completo/
• hxxps[:]//purecopperapp.monster/indexind.php?flow_id=107&aff_click_id=D-21356743-1737975550-34G123G137G124-AITLS2195&keyword=Seuarquivo&ip=115.118.240.109&sub=22697121&source=157764
• hxxps[:]//wlanpremiumapp.monster/indexind.php?flow_id=107&aff_click_id=D-21356743-1739353595-34G134G64G208-YBUVA1634&keyword=Seuarquivo&ip=115.118.240.109&sub=22697095&source=157764
• hxxps[:]//savetitânioapp.monster/?t=d6ebff4d554677320244f60589926b97
• hxxps[:]//loadpremiumapp.monster/?t=74fddba44e47538821a2796e12191868
• hxxps[:]//mega.nz/file/JG9nHAjQ#xYoJHxAy_mP1KlZC-m2P-UgPzXiHiH6XA0QQn62sseY
+Mais
Engenharia social impulsionada por IA: ferramentas e estratégias auxiliares
IA e Segurança: Um Novo Problema Pra Resolver
17 cursos gratuitos sobre CyberSecurity da AWS que você pode fazer agora mesmo