Um alerta recente da empresa de segurança cibernética do Google, Mandiant, destaca uma nova variedade de malware chamada Peaklight, voltada especificamente para indivíduos que fazem downloads de filmes piratas. Este malware apresenta sérios riscos, não apenas devido a possíveis questões legais, mas também devido à exposição a software prejudicial que pode comprometer gravemente os computadores Windows.
O que é malware Peaklight?
De acordo com a postagem do blog da Mandiant (através de Times of India), o Peaklight opera furtivamente na memória de um computador, tornando a detecção um desafio, pois não deixa rastros no disco rígido. Os pesquisadores o descrevem como um conta-gotas somente de memória que executa um downloader baseado em PowerShell, conhecido como PEAKLIGHT. Este downloader é capaz de trazer software malicioso adicional para o sistema comprometido, aumentando a ameaça representada aos usuários.
Leia também: Respostas inteligentes do Google Gemini chegando ao Gmail – todos os detalhes
Mandiant explica que o Peaklight emprega um script secreto do PowerShell para introduzir mais malware nos dispositivos infectados. Essa abordagem permite que os cibercriminosos entreguem vários programas prejudiciais, incluindo Lumma Stealer, Hijack Loader e CryptBot. Esses programas estão disponíveis como serviços para aluguel, permitindo que invasores roubem dados confidenciais ou assumam o controle dos sistemas afetados.
Como os cibercriminosos implantam o Peaklight
Os cibercriminosos desenvolveram táticas para distribuir o Peaklight por meio de downloads enganosos de filmes. Eles ocultam arquivos de atalho perigosos do Windows (LNKs) em pastas ZIP, disfarçados de filmes populares. Quando um usuário abre esses arquivos, uma série de ações prejudiciais ocorre:
Leia também: Evento Apple de outubro de 2024: Novos Macs M4 e iPads esperados; iPhone SE 4, Watch SE 3 chegará em 2025
1. Conexão com uma fonte oculta: O arquivo LNK estabelece um link para uma rede de distribuição de conteúdo (CDN), onde recupera código JavaScript prejudicial. Esse código é executado diretamente na memória do computador, ignorando a detecção no disco rígido.
2. Ativação do Downloader: O JavaScript aciona um script do PowerShell chamado Peaklight, desencadeando uma reação em cadeia que facilita a propagação do malware.
3. Baixando ameaças adicionais: Atuando como um downloader, o Peaklight busca outros malwares de um servidor remoto, incluindo programas como Lumma Stealer, Hijack Loader e CryptBot, que podem comprometer os dados do usuário ou conceder aos invasores controle sobre o sistema.
Leia também: Os usuários do WhatsApp em breve obterão filtros na câmera integrada do aplicativo, aqui está o que sabemos
O relatório enfatiza que a operação do Peaklight na memória do computador (RAM) aumenta sua furtividade. As soluções antivírus tradicionais geralmente se concentram em verificações de discos rígidos, dificultando a detecção desse tipo de ameaça.
Os pesquisadores Aaron Lee e Praveeth D’Souza da Mandiant afirmam: “PEAKLIGHT é um downloader ofuscado baseado em PowerShell que faz parte de uma cadeia de execução de vários estágios que verifica a presença de arquivos ZIP em caminhos de arquivo codificados. Se esses arquivos estiverem ausentes, o downloader entra em contato com um site CDN para baixar o arquivo hospedado remotamente e salva-o no disco.”
Os usuários são aconselhados a ter cuidado ao baixar conteúdo de fontes não autorizadas para evitar serem vítimas de malware como o Peaklight.