Este malware está a ser incluído em apps falsas que se fazem passar pelo Google Translate ou programas para fazer download de MP3, e que inicialmente parecem fazer a função que anunciam, contabilizando já centenas de milhares de downloads. Mas o problema é que estes programas são autênticas bombas-relógio, cujos efeitos só se fazem sentir mais tarde.
Para começar, estes programas são fornecidos como RAR encriptados com password, uma técnica comum para impedir a detecção por parte de sistemas anti-malware. Só ao fim de 5 dias é que o programa faz o download de outro programa, também ele num RAR encriptado, que cria algumas tarefas agendadas, de seguida limpando os logs e auto-eliminando-se. Passados 20 dias, a tarefa agendada descarrega outro programa, num site que se faz passar por actualizações da Intel, e que procura por anti-virus, verifica se está a correr numa máquina virtual (que pode ser sinal de algum investigador a tentar analisar o seu funcionamento), e se tudo estiver dentro dos parâmetros aceitáveis, cria regras na firewall e uma excepção no Windows Defender. Passados alguns dias, liga-se a outro site que se faz passar por um site da Nvidia, para receber instruções e iniciar a sua actividade: minerar criptomoedas usando o computador da vítima.
Sem comentários:
Enviar um comentário (problemas a comentar?)