Golpe de Romance Entrega Malware Escondido em Arquivo de ‘Fotos Encantadoras’

Um novo ciberataque está visando falantes de alemão com golpes de romance de temática adulta, entregando secretamente malware.

De acordo com a Sublime Security, os atacantes utilizam dois links enganosos para atrair vítimas, seduzindo-as por meio de um e-mail romântico.

O primeiro link parece uma imagem de pré-visualização de vídeo, mas o segundo link leva a um arquivo disfarçado. Se clicado, o sistema verifica se o usuário está na Alemanha. Se sim, ele baixa um arquivo ISO de 300MB de um servidor russo.

Os pesquisadores explicam que os atacantes usam o Keitaro TDS, um sistema comercial de distribuição de tráfego, para atingir os usuários durante seu horário de trabalho através desta campanha maliciosa.

“Keitaro é capaz de visualizar muitas características do computador, fazendo a solicitação e fornecendo caminhos de conexão”, explicou Sublime. Essa precisão direcionada aumenta as chances de sucesso.

Uma vez baixado, o arquivo ISO escapa da detecção ao inflar seu tamanho. Quando montado, ele revela um arquivo chamado ‘lovely_photos.exe’ e um arquivo de texto com uma senha. Executar o arquivo solicita ao usuário essa senha, que aciona a extração de imagens explícitas e vários arquivos maliciosos.

O malware constrói um interpretador AutoIt para executar um script fortemente disfarçado, projetado para burlar o software antivírus. “O script final do AutoIt é extensivamente ofuscado […] com mais de 11.500 linhas de código,” observou Sublime. O script se instala como uma tarefa agendada do Windows chamada DragonMapper, garantindo que o malware seja executado toda vez que o usuário fizer login.

Esta campanha destaca a crescente sofisticação dos ataques de engenharia social e como os atores de ameaças estão agora combinando golpes adultos com técnicas anti-análise e ferramentas legítimas como AutoIt e Keitaro TDS para permanecerem indetectados.