Não se faz mais malware como antigamente.

Quem visitou o FossHub na semana passada para baixar o Classic Shell (que substitui o menu Iniciar) ou o editor de áudio Audacity está em risco de ter baixado um trojan que parece algo vindo dos anos 90.

O código malicioso foi escrito por um grupo de hackers que se autodenomina Pegglecrew. O YouTuber danooct1 explica que o programa é novo e passa em grande parte sem ser detectado por sites como o VirusTotal.

Até mesmo o instalador falso é quase idêntico em tamanho de arquivo ao original. Inicialmente, abrir a versão infectada do Audacity ou Classic Shell parece não fazer nada, mas ao reiniciar, o usuário é recebido com a seguinte mensagem:

Enquanto você reinicia, você nota que algo substituiu o seu MBR! É uma coisa triste que suas aventuras tenham terminado aqui! Direcione todo o ódio para Pegglecrew (@cultofrazer no Twitter)

A intenção do trojan não parece ser destrutiva, já que a mensagem afirma precisamente porque a máquina do usuário não está mais funcionando como esperado – e de forma semelhante a um RPG clássico baseado em texto.

virus mbr

Ao fazer boot com um disco de recuperação e executar um comando rápido para restaurar o MBR (registro mestre de inicialização), é possível restaurar as funções normais do sistema, de acordo com danooct1.

Vários tweets sugerem que a obra de Pegglecrew apareceu em diversas máquinas. A equipe entrou em contato com o Gizmodo através do Twitter para explicar porque fez tudo isso:

Nós tivemos o FossHub como alvo porque queríamos informar as pessoas para cuidar melhor de sua segurança… todos os usuários realmente clicaram para fechar um aviso de que o software poderia ser perigoso. Isso é apenas um exemplo de descuido dos usuários, e nem leva em conta quantidade de senhas terríveis (também exploradas neste ataque) e outras práticas terríveis.

(Eles também explicam que roubaram o nome de usuário @cultofrazer da Razer, fabricante de hardware para jogos, que então recuperou a própria conta.)

Em um e-mail para a Softpedia, alguém que reivindica ser um membro de Pegglecrew escreveu:

“Em suma, um serviço de rede sem autenticação foi exposto à internet… Fomos capazes de pegar dados a partir deste serviço de rede para obter o código-fonte e senhas que nos levaram para dentro da infraestrutura do FOSSHub, e acabamos ganhando o controle de suas máquinas de produção, locais de backup e espelhamento, e as credenciais de FTP para o serviço de armazenamento em cache, bem como o e-mail hospedado no Google Apps.”

Eles estimam que só os downloads de Classic Shell foram responsáveis ​​por infectar mais de 300 máquinas, mas afirmam que o trojan em si vem sendo usado por eles há meses. Felizmente, o Pegglecrew alega que seu malware tem “zero efeito além de substituir o MBR”, que pode ser facilmente revertido.

A Audacity escreveu em seu blog que o download comprometido ficou no ar por cerca de três horas, e desde então foi resolvido, embora o mesmo suposto membro do Pegglecrew afirme que “após os administradores reverterem as alterações, substituímos todos os executáveis de instalador ​​nos servidores [do Fosshub] com o código que sobrescreve o MBR.”

O Pegglecrew anteriormente reivindicou ter invadido a conta de Ringo Starr no Twitter, e de causar tumulto no subreddit de Super Smash Bros.

Imagem por CyberHades/Flickr