Ransomware é encontrado em contas piratas do Netflix

Hackers cobram US$ 100 de Bitcoins pelo resgate de arquivos criptografados e utilizam credenciais roubadas como moeda de troca para outros cibercriminosos

Com uma base de 93 milhões em mais de 190 países, não é surpreendente que os cibercriminosos procurem por vantagens em atacar os usuários da Netflix.

 

Entre seu modus operandi: roubar as credenciais do usuário que possam ser monetizadas nos mercados clandestinos, explorar as vulnerabilidades e, mais recentemente, infectar sistemas com Trojans capazes de furtar informações financeiras e pessoais do alvo.

 

Segundo a Trend Micro, as credenciais roubadas do Netflix também são oferecidas como moeda de troca para outros cibercriminosos, por exemplo. Ou ainda pior, para usá-las como isca na instalação de malwares (e gerem lucro no processo).

 

No entanto, o alerta maior vai para aqueles que planejam usar uma conta pirata para fazer uma maratona com os seus programas favoritos na Netflix. Os arquivos destas máquinas têm grande risco de serem sequestrados.

 

A Trend Micro deparou-se com um ransomware (detectado como RANSOM_NETIX.A) atraindo usuários de Windows/PC que possuem uma conta Netflix por meio de um gerador de login, uma das ferramentas normalmente usadas em softwares e adesões em contas piratas. Estes programas são normalmente encontrados em sites suspeitos que compartilham aplicativos e acessos piratas a serviços pagos/premium baseados na web.

 

trendmicroNetflix1
Instruções de resgate para as vítimas (Divulgação)

A rotina do ransomware

 

O ransomware começa como um arquivo executável (Gerador de Login Netflix v1.1.exe) que faz o download de outra cópia de si mesmo (netprotocol.exe) e em seguida é executado. Ao clicar no botão “Gerar Login” isso leva a outra janela do prompt que supostamente tem as informações de login de uma conta Netflix verdadeira. O RANSOM_NETIX.A usa esses falsos prompts/janelas como distração enquanto executa sua rotina de criptografia em 39 tipos de arquivos contidos no diretório o C:\Users.

 

Gerador fake de Logins do Netflix

 

trendmicroNetflix2
(Divulgação)

 

O ransomware usa o algoritmo de criptografia AES-256 e anexa os arquivos criptografados com a extensão “.se”. Os bilhetes de resgate exigem um pagamento de US$ 100 de Bitcoins (0,18 BTC) das suas vítimas, o que é relativamente mais barato em comparação a outras famílias. Ele se conecta aos seus servidores de comando e controle (C&C) para enviar e receber informações (personalização do número de identificação, por exemplo), e assim fazer o download dos bilhetes de resgate, um dos quais é configura-se como um wallpaper na máquina infectada.

 

Curiosamente, o ransomware se extingue sozinho caso o sistema operacional não seja o Windows 7 ou Windows 10.

 

Fique atento

 

Os malfeitores estão diversificando as contas pessoais que utilizam como alvo. Contas de Netflix com phishing, por exemplo, são uma mercadoria atraente porque podem ser usadas simultaneamente por diferentes endereços de IP. Isso destaca a importância de os usuários finais manterem suas contas protegidas contra criminosos.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365