Quando se descarrega ilegalmente um ficheiro multimédia, existe sempre o risco de se acabar por descarregar mais do que se esperava. Os criadores de malware adoram anexar os seus payloads a ficheiros multimédia falsos para enganar os outros e levá-los a descarregá-los. Dito isto, está a circular uma nova forma de ataque chamada Peaklight e tem como alvo quem anda a descarregar filmes online.
Se anda a descarregar filmes online isto está à espreita!
O que é o Peaklight?
O Peaklight é uma aplicação maliciosa – mas não pode causar danos por si só. Em vez disso, atua como um downloader que instala os processos causadores de danos no seu PC. Se imaginarmos o Peaklight como uma arma e as balas que dispara como malware, ficamos com uma boa ideia do que faz.
A Google relatou um enorme aumento nos ataques do Peaklight!
Como funciona o ataque Peaklight
O downloader do Peaklight entra nos sistemas das pessoas através de um truque sorrateiro. Um agente malicioso carrega um ficheiro LNK com um ícone personalizado que o disfarça como um ficheiro de filme. Os ficheiros LNK por si só não são maliciosos, mas os distribuidores de malware podem programá-los para fazer coisas maliciosas. Neste caso, o ficheiro LNK está programado para abrir o PowerShell e usá-lo para descarregar o Peaklight.
Uma vez que o agente malicioso tenha montado a armadilha, é hora de esperar que alguém a abra.
A vítima descarrega um falso filme pirateado
O ataque começa quando alguém procura online por um filme ilegal para descarregar. A pessoa descarrega um ZIP e dentro está um ficheiro LNK disfarçado como um ficheiro de filme. A vítima pode acreditar que descarregou o filme que procurava e fazer duplo clique no ficheiro para abrir o “filme”. Isto desencadeia o script dentro do ficheiro LINK.
A vítima ativa o ficheiro LNK descarregado
Agora que o ficheiro LNK está ativo, abre o PowerShell e dá-lhe um comando para descarregar o Peaklight. O download é ofuscado, o que significa que ele usa táticas especiais para confundir as aplicações antivírus.
O Peaklight corre inteiramente na memória do computador para encobrir ainda mais o seu rasto, em vez de correr a partir do armazenamento do alvo. Esse é um truque particularmente eficaz que o malware usa para se esconder. Depois de se apoderar do seu computador começa o ataque aos seus dados e também às carteiras de criptomoedas, caso as tenha.
Tenha sempre cuidado!
Se visitar uma página e verificar que este descarregou automaticamente algo para o seu computador sem a sua autorização, tenha muito cuidado.
Por vezes, um descarregamento automático é perfeitamente seguro. Por exemplo, se encontrar um ficheiro PDF numa pesquisa do Google e clicar na hiperligação, o seu nbrowser pode descarregar automaticamente o ficheiro para a sua unidade. No entanto, se o ficheiro descarregado contiver algo que possa ser executado, é melhor apagá-lo.
