Ativa\u00e7\u00e3o falsa<\/h2>\n
Depois de baixar uma imagem de disco que supostamente cont\u00e9m o aplicativo crackeado, a v\u00edtima recebe a instru\u00e7\u00e3o para copiar dois arquivos na pasta Aplicativos: o pr\u00f3prio aplicativo e o chamado \u201cativador\u201d. Se o aplicativo for apenas copiado e iniciado, ele n\u00e3o ser\u00e1 executado. De acordo com o manual, o aplicativo crackeado deve ser \u201cativado\u201d primeiramente. Nossa an\u00e1lise descobriu que o ativador n\u00e3o faz nada sofisticado: ele simplesmente remove v\u00e1rios bytes do in\u00edcio do execut\u00e1vel do aplicativo para torn\u00e1-lo funcional. Em outras palavras, os cibercriminosos modificaram um aplicativo previamente crackeado para impedir que ele seja executado, a menos que seja \u201cativado\u201d primeiramente. Sem surpresas para ningu\u00e9m, o ativador tem um efeito colateral grave: ele solicita permiss\u00f5es administrativas quando \u00e9 executado para instalar um script de download no sistema. Ent\u00e3o, o script baixa da Web o conte\u00fado adicional: um backdoor<\/a> que solicita comandos de seus operadores de vez em quando.<\/p>\n Manual de instala\u00e7\u00e3o, janela do ativador e solicita\u00e7\u00e3o de senha de administrador<\/p><\/div>\n Para baixar o script malicioso, o ativador emprega uma ferramenta n\u00e3o usual e aparentemente inocente: o Sistema de Nomes de Dom\u00ednio (DNS). Escrevemos anteriormente sobre o DNS e o DNS seguro<\/a>, mas deixamos de fora um recurso t\u00e9cnico interessante do servi\u00e7o. Cada registro DNS vincula n\u00e3o apenas o nome da Internet de um servidor com o respectivo endere\u00e7o IP, mas tamb\u00e9m pode conter uma descri\u00e7\u00e3o de texto do servidor em formato livre, chamada de registro TXT. Isso \u00e9 o que os agentes maliciosos exploraram ao integrar snippets de c\u00f3digo malicioso nos registros TXT. O ativador baixa tr\u00eas registros TXT pertencentes a um dom\u00ednio malicioso e monta um script a partir deles.<\/p>\n A configura\u00e7\u00e3o tem uma s\u00e9rie de vantagens, ainda que seja aparentemente complicada. Para come\u00e7ar, o ativador n\u00e3o faz nada particularmente suspeito: qualquer aplicativo da Web solicita registros DNS e \u00e9 assim que qualquer sess\u00e3o de comunica\u00e7\u00e3o deve come\u00e7ar. Em segundo lugar, os agentes maliciosos podem atualizar facilmente o script para modificar o padr\u00e3o de infec\u00e7\u00e3o e o conte\u00fado final ao editar os registros TXT do dom\u00ednio. E, finalmente, remover conte\u00fado malicioso da Web n\u00e3o \u00e9 uma tarefa f\u00e1cil devido \u00e0 natureza distribu\u00edda do Sistema de Nomes de Dom\u00ednio. Os provedores de servi\u00e7os de Internet e as empresas achariam dif\u00edcil at\u00e9 mesmo detectar a viola\u00e7\u00e3o de suas pol\u00edticas porque cada um desses registros TXT \u00e9 apenas um snippet de c\u00f3digo malicioso que n\u00e3o representa nenhuma amea\u00e7a por si s\u00f3.<\/p>\n O script de download executado periodicamente permite que os invasores atualizem o conte\u00fado malicioso e executem as a\u00e7\u00f5es que quiserem no computador da v\u00edtima. No momento de nossa an\u00e1lise, eles mostraram interesse em roubar criptomoedas. O backdoor verifica automaticamente o computador da v\u00edtima em busca de carteiras Exodus ou Bitcoin, e as substitui por vers\u00f5es infectadas por trojans. Uma carteira Exodus infectada rouba a frase inicial do usu\u00e1rio e uma carteira Bitcoin infectada rouba a chave de criptografia usada para criptografar chaves privadas. A \u00faltima a\u00e7\u00e3o d\u00e1 aos invasores a capacidade de assinar transfer\u00eancias em nome da v\u00edtima. \u00c9 assim que uma pessoa pode tentar economizar algumas dezenas de d\u00f3lares em aplicativos piratas, apenas para perder uma quantia muito maior em criptografia.<\/p>\n Isso n\u00e3o \u00e9 novidade, mas ainda \u00e9 verdade: para ficar longe dessa amea\u00e7a e n\u00e3o se tornar uma v\u00edtima, baixe os aplicativos apenas das lojas de aplicativos oficiais. Antes de baixar um aplicativo do site de um desenvolvedor, verifique e confirme se o item \u00e9 original e n\u00e3o de um dos muitos sites de phishing<\/a>.<\/p>\n Caso esteja pensando em baixar uma vers\u00e3o crackeada de um aplicativo, pense duas vezes antes de fazer isso. Sites piratas \u201cescrupulosos e confi\u00e1veis\u201d s\u00e3o t\u00e3o raros quanto elfos e unic\u00f3rnios.<\/p>\n N\u00e3o importa o quanto voc\u00ea considere ter um excelente conhecimento de inform\u00e1tica, cautela e muita aten\u00e7\u00e3o aos detalhes. N\u00e3o se esque\u00e7a de usar seguran\u00e7a abrangente em todos os seus dispositivos: telefones, tablets e computadores. O Kaspersky Premium<\/a>\u00a0\u00e9 uma boa solu\u00e7\u00e3o multiplataforma. Verifique se todos os recursos de seguran\u00e7a b\u00e1sicos e avan\u00e7ados<\/a> est\u00e3o ativados. Quanto aos propriet\u00e1rios de criptomoedas, al\u00e9m das instru\u00e7\u00f5es mencionadas acima, sugerimos a leitura de nossas instru\u00e7\u00f5es detalhadas sobre como proteger carteiras de criptomoedas hot<\/a> e cold<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Receba o que paga: aplicativos macOS crackeados buscam c\u00f3digo malicioso dos registros DNS para roubar criptomoedas<\/p>\n","protected":false},"author":2749,"featured_media":22211,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[218,131,612,1288,830,822,3254,160,3253],"class_list":{"0":"post-22210","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ameacas","9":"tag-bitcoin","10":"tag-criptomoeda","11":"tag-criptomoedas","12":"tag-tips","13":"tag-dns","14":"tag-exodus","15":"tag-macos","16":"tag-osx"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22210\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27017\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22330\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/11386\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29687\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27185\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27012\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29606\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/28510\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/36901\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/12027\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/50361\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/21445\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/30879\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/35746\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27410\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/33202\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/32826\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/macos\/","name":"MacOs"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=22210"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22210\/revisions"}],"predecessor-version":[{"id":22214,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22210\/revisions\/22214"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/22211"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=22210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=22210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=22210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Manual](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/02\/06171600\/fake-macos-activator-steals-bitcoin-exodus-uses-DNS-01.jpg\")
<\/a>Conex\u00e3o via DNS<\/h2>\n
O \u00faltimo e mais dif\u00edcil desafio<\/h2>\n
Prote\u00e7\u00e3o contra um ataque a carteiras de criptomoedas<\/h2>\n