Cuidado: páginas falsas do jogo itch.io roubam contas de jogadores e distribuem malware

Cuidado: páginas falsas do jogo itch.io roubam contas de jogadores e distribuem malware

Golpe crescente visando usuários do Itch.io

Relatórios recentes do Malwarebytes chamaram a atenção para um golpe preocupante que afeta a comunidade gamer na plataforma indie Itch.io. Os autores desse golpe estão explorando a confiança existente entre jogadores e desenvolvedores independentes, fingindo ser jogos populares, como o jogo Archimoulin.

Como o golpe opera

O processo começa com os golpistas usando contas comprometidas em plataformas de comunicação confiáveis, como o Discord. Essa tática aumenta a probabilidade de vítimas em potencial confiarem e clicarem nos links maliciosos fornecidos.

Ao clicar, os usuários são redirecionados para uma página enganosa que imita o design do Itch.io, frequentemente hospedada em subdomínios do Blogspot ou serviços de links em nuvem. Em variações mais avançadas do golpe, as vítimas podem receber uma página falsa de login do Discord para capturar suas credenciais de login. Isso não apenas compromete a conta da vítima, mas também permite que os golpistas enviem mais mensagens maliciosas.

Downloads maliciosos e táticas de evasão

As vítimas que encontrarem a página fraudulenta do jogo verão um botão de download, mas, em vez de baixar o jogo pretendido, receberão inadvertidamente um arquivo normalmente chamado Setup Game.exe. Este executável foi projetado para operar sem nenhuma interface de usuário visível, como um assistente de instalação ou barra de progresso, o que o torna facilmente ignorado.

Este programa malicioso ativa o PowerShell e executa um comando codificado, ocultando os scripts nocivos da detecção imediata. Ao executar o código diretamente na memória, torna-se mais difícil para softwares antivírus tradicionais identificarem a ameaça. Além disso, o uso de um truque do. NET permite que a janela do PowerShell permaneça oculta do usuário.

Para dificultar ainda mais as tentativas de intervenção dos usuários, o malware utiliza um taskkillcomando para fechar à força navegadores populares como Chrome, Firefox, Brave, Edge e Opera. Isso impede que os usuários pesquisem informações rapidamente ou interrompam o processo de instalação.

O nível de ameaça e as ações recomendadas

Este malware atua como um stager ou loader que não se comunica imediatamente com servidores externos. Em vez disso, realiza verificações, como a análise de entradas de registro e do BIOS ou das configurações de rede, para garantir que está operando em uma máquina legítima, e não em um ambiente sandbox controlado. Quando as condições são consideradas favoráveis, esse componente furtivo baixa cargas maliciosas adicionais, que podem incluir backdoors, keyloggers ou mineradores de criptomoedas.

A Malwarebytes recomenda que qualquer pessoa que execute o arquivo malicioso tome medidas imediatas.É crucial:

  • Altere as senhas das contas do Discord, e-mail e Steam.
  • Habilite a autenticação de dois fatores em um dispositivo seguro.
  • Sair de todas as sessões ativas.
  • Revogue quaisquer aplicativos ou tokens de terceiros autorizados.
  • Desconecte a máquina afetada da internet.

Fique atento a links não solicitados

Se você estiver preocupado com essa ameaça constante, fique atento a mensagens diretas inesperadas que contenham links duvidosos para download de jogos, bem como a qualquer comportamento estranho do navegador, como travamentos ou o surgimento repentino de novas pastas. No caso lamentável de seu sistema ser comprometido, uma reinstalação completa do Windows é altamente recomendada.

Para mais detalhes, visite o relatório completo no site da Neowin.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *