A feira de videogames gamescom (realizada na Alemanha) começou nesta semana, ou seja, um bom momento para falar de ameaças que estão direcionadas aos gamers.
Os pesquisadores da ESET descobriram o sigiloso malware João, que está direcionado aos gamers de todo o mundo. A ameaça, que se propaga por meio de jogos comprometidos da Aeria disponíveis em sites não oficiais, é um malware modular que pode baixar e instalar virtualmente qualquer outro código malicioso no computador da vítima.
Para propagá-lo, os cibercriminosos se aproveitam de jogos de interpretação de personagens online e em massa para multijogadores (MMORPG) publicados originalmente pela Aeria Games. Até o momento de produção deste post, o downloader do João era distribuído através de MMORPG do tipo anime Grand Fantasia, disponível no site gf.ignitgames[.]to.
As soluções da ESET bloqueiam o site utilizado para propagar o João e, além disso, a empresa também já relatou o caso para a Aeria Games.
Os sistemas da ESET detectaram o malware João em todo o mundo, mas, como é possível ver no seguinte mapa, as detecções no México e na América do Sul são bastante altas.
Nossa pesquisa demonstrou que vários outros jogos da Aeria foram aproveitados anteriormente da mesma forma. No entanto, os sites não oficiais que publicaram a ameaça foram inativados ou já excluíram os downloads maliciosos.
Como funciona o malware João?
Os jogos afetados foram modificados para executar o componente principal do João, uma biblioteca maliciosa chamada mskdbe.dll e detectada pela ESET como Win32/Joao.A. Quando os usuários executam o jogo, o João também é executado.
Nesse momento, o downloader envia informações básicas sobre o equipamento infectado para os cibercriminosos: nome do dispositivo, versão do sistema operacional e dados sobre privilégios dos usuários. Enquanto isso, o malware continua com as atividades de forma silenciosa e despercebida, e desde que o jogo funcione normalmente, o usuário não percebe nada suspeito relacionado com a infecção.
A única diferença visível com o jogo legítimo da Aeria é um arquivo .dll extra na pasta de instalação:
Figura 3: Downloader do João na pasta de instalação do jogo
Depois que a comunicação é estabelecida com o servidor dos cibercriminosos, a lógica do lado do servidor decide se serão enviados componentes para o computador da vítima e quais. Os componentes do malware João que descobrimos durante a nossa pesquisa tinham capacidades de backdoor, espionagem e DDoS.
Acho que o meu equipamento está infectado, como posso limpá-lo?
Você costuma baixar muitos jogos por meio de diferentes fontes e não tem certeza se possui algum desses citados neste post? Para detectar rapidamente a presença do malware João no computador, procure “mskdbe.dll”. Se o resultado da busca incluir um arquivo com este nome, é bastante provável que você esteja infectado.
Se o arquivo não for encontrado, pode ser que o João esteja por aí escondido - os cibercriminosos podem alterar o nome do arquivo a qualquer momento.
Por isso, é melhor usar uma solução de segurança confiável para detectar a ameaça e eliminá-la. Você pode usar, por exemplo, a ferramenta gratuita ESET Online Scanner.
Como se proteger?
O fato de João e de outras ameaças estarem direcionadas para os gamers não significa que agora podemos jogar sem se preocupar com as infecções. Por isso, confira as seguintes dicas:
- Escolha fontes oficiais sempre que possível
Os MMORPG utilizados pelos cibercriminosos são apenas uma porção do que pode estar escondido em links de download de lojas e fóruns não oficiais.
- Mantenha os seus jogos atualizados
Da mesma forma que os sistemas operacionais e os aplicativos, os jogos também possuem vulnerabilidades que podem ser exploradas pelos cibercriminosos. Por isso, instale todos os patches disponibilizados pelos desenvolvedores.
- Use uma solução de segurança confiável e a mantenha ativa enquanto estiver jogando
Pode ser que algo dê errado na sua experiência de jogo, e é fundamental estar preparado para isso. Muitas soluções de segurança têm um modo gamer que permite aproveitar os videogames sem interrupções, ao mesmo tempo que protegem o equipamento.
- Lembre-se que existem outras ameaças que são direcionadas para os gamers
Ransomware, keyloggers, trojans… Para conhecer estas ameaças e conferir mais dicas que podem te ajudar a jogar de forma segura, não deixe de ler esta dicas para gamers.
| IoCs |
|---|
| Downloader do João : mskdbe.dll – Win32/Joao.A |
| Hashes: |
| 49505723d250cde39087fd85273f7d6a96b3c50d |
| d9fb94ac24295a2d439daa1f0bf4479420b32e34 |
| 4ede2c99cc174fc8b36a0e8fe6724b03cc7cb663 |
| e44dbadcd7d8b768836c16a40fae7d712bfb60e2 |
| b37f7a01c5a7e366bd2f4f0e7112bbb94e5ff589 |
| fdbb398839c7b6692c1d72ac3fcd8ae837c52b47 |
| 5ab0b5403569b17d8006ef6819acc010ab36b2db |
| c3abd23d775c85f08662a00d945110bb46897c7c |
| 00a0677e7f26c325265e9ec8d3e4c5038c3d461d |
| c1b4c2696294df414cfc234ab50b2e209c724390 |
| 844f20d543d213352d533eb8042bd5d2aff4b7d4 |
| 2ce51e5e75d8ecc560e9c024cd74b7ec8233ff78 |
| 12a772e2092e974da5a1b6e008c570563e9acfe9 |
| 287c610e40aff6c6f37f1ad4d4e477cb728f7b1d |
| 5303a6f8318c2c79c2188377edddbe163cd02572 |
| 6f17c3ab48f857669d99065904e85b198f2b83f5 |
| 51dfe50e675eea427192dcc7a900b00d10bb257a |
| ec976800cd25109771f09bbba24fca428b51563e |
| 13e05e44d1311c5c15c32a4d21aa8eadf2106e96 |
| 0914913286c80428b2c6dec7aff4e0a9b51acf50 |
| 1e9c0a2a75db5b74a96dbfd61bcdda47335aaf8b |
| 392b54c5a318b64f4fd3e9313b1a17eac36320e1 |
| ba40012bdee8fc8f4ec06921e99bc4d566bba336 |
| 6d130e6301f4971069513266a1510a4729062f6d |
| beea9351853984e7426107c37bc0c7f40c5360e0 |
| a34d6a462b7f176827257991ef9807b31679e781 |
| ac86700c85a857c6d8c72cb0d34ebd9552351366 |
| af079da9243eb7113f30146c258992b2b5ceb651 |
| 1e6125b9c4337b501c699f481debdfefea070583 |
| a158f01199c6fd931f064b948c923118466c7384 |
| 350fc8286efdf8bcf4c92dc077088dd928439de9 |
| 2da8a51359bf3be8d17c19405c930848fe41bb04 |
| Componentes: |
| JoaoShepherd.dll – Win32/Joao.B |
| joaoDLL.dll – Win32/Joao.C |
| joaoInstaller.exe – Win32/Joao.D |
| JoaoShepherd.dll (x64) – Win64/Joao.B |
| joaoInstaller.exe (x64) – Win64/Joao.D |
| Hashes: |
| 0d0eb06aab3452247650585f5d70fa8a7d81d968 |
| f96b42fd652275d74f30c718cbcd009947aa681a |
| 6154484d4acf83c21479e7f4d19aa33ae6cb716c |
| d338babd7173fa9bb9b1db9c9710308ece7da56e |
| ef2a21b204b357ca068fe2f663df958428636194 |
| 6b0e03e12070598825ac97767f9a7711aa6a7b91 |
| 28ca2d945731be2ff1db1f4c68c39f48b8e5ca98 |
| d08120dd3fa82a5f117d91e324b2baf4cbbcaea5 |
| f95aef3ca0c4bd2338ce851016dd05e2ee639c30 |
| 9b2d59a1aa7733c1a820cc94a8d5a6a5b4a5b586 |
| ceb15c9fd15c844b65d280432491189cc50e7331 |
| 3331ac2aecfd434c591b83f3959fa8880141ab05 |
| 2ff2aadc9276592cbe2f2a07cf800da1b7c68581 |
| 3bceb54eb9dd2994b1232b596ee0b117d460af09 |
| 86617e92fc6b8625e8dec2a006f2194a35572d20 |
| 18a74078037b788f8be84d6e63ef5917cbafe418 |
| 4b0c1fcd43feab17ca8f856afebac63dedd3cd19 |
| 6bfa98f347b61d149bb2f8a2c9fd48829be697b6 |
| 7336e5255043841907e635b07e1e976d2ffb92b5 |
| 745396fedd66a807b55deee691c3fe70c5bc955d |
| 574f81b004cb9c6f14bf912e389eabd781fe8c90 |
| d7751fc27efbc5a28d348851ce74f987d59b2d91 |
| 19bf7b5ad77c62c740267ea01928c729ca6d0762 |
| ecc0ade237fa46a5b8f92ccc97316901a1eaba47 |
| 7075ffa5c8635fb4afeb7eea69a910e2f74080b3 |
| 47f68b6352243d1e03617d5e50948648f090dc32 |
| 7a4f05fc0906e3e1c5f2407daae2a73b638b73d9 |
| b6d7da761084d4732e85fd33fb670d2e330687a2 |
| ab69fb7c47e937620ab4af6aa7c36cf75f262e39 |
| 0e9e2dcf39dfe2436b220f13a18fdbce1270365d |
