Imagine que você quer criar um programa de malware, mas não sabe por onde começar. Você talvez encontre um software que promete ser uma ferramenta fácil para novatos. Mas e se eu te contar que esse “falso criador de trojans” na verdade infecta seu computador em vez de te ajudar? Neste artigo, vamos desvendar como um hacker está enganando os inexperientes, espalhando um programa enganoso que compromete dispositivos Windows. Prepare-se para descobrir os perigos de usar ferramentas de fontes duvidosas e como isso pode afetar você e outros ao seu redor.
- Um hacker engana novatos no cibercrime com um falso criador de trojans.
- O programa promete criar malware, mas infecta dispositivos com XWorm.
- Mais de 18.459 dispositivos em vários países foram comprometidos.
- O malware rouba senhas, captura telas e causa erros no sistema.
- Existe um “kill switch” para desinstalar, mas só funciona online.
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
Hacker engana e contamina 18 mil script kiddies
Você sabia que um hacker está explorando os novatos do cibercrime, conhecidos como “script kiddies”? Ele está distribuindo um falso criador de trojans que, em vez de ajudar esses iniciantes a criar malware, acaba infectando os dispositivos Windows. Esse programa, promovido como um builder do XWorm, um Trojan de Acesso Remoto (RAT), está sendo amplamente compartilhado em plataformas como GitHub, canais do Telegram e serviços de compartilhamento de arquivos. O resultado? Um verdadeiro golpe que engana quem está apenas começando na área.
O que acontece quando você usa esse falso builder?
Ao executar esse falso criador de trojans, o que você não imagina é que um malware é instalado no seu dispositivo. Esse malware tem várias funções perigosas:
- Roubo de senhas e cookies armazenados nos navegadores.
- Captura de telas do que você está fazendo.
- Desligamento remoto do seu sistema.
- Forçar uma Tela Azul da Morte.
A empresa de segurança CloudSEK descobriu que mais de 18.459 dispositivos foram comprometidos em todo o mundo, com vítimas em países como Rússia, EUA, Índia, Ucrânia e Turquia. Desses dispositivos, 2.068 tiveram suas credenciais de navegador roubadas. E quem está sendo atacado? Principalmente os script kiddies — aqueles que são inexperientes em segurança cibernética e seguem tutoriais, utilizando ferramentas prontas.
| País | Dispositivos Comprometidos | Credenciais Roubadas |
|---|---|---|
| Rússia | X | X |
| EUA | X | X |
| Índia | X | X |
| Ucrânia | X | X |
| Turquia | X | X |
| Total | 18.459 | 2.068 |
Um recurso interessante: o “kill switch”
Apesar da gravidade do ataque, a CloudSEK encontrou algo curioso no malware: um kill switch. Isso permite que você desinstale o malware enviando o comando /uninstall para o bot do Telegram associado. A empresa tentou usar esse recurso para neutralizar a infecção em milhares de dispositivos. Porém, a eficácia dessa estratégia foi limitada, pois o comando só funciona quando o dispositivo infectado está online. Além disso, há restrições de envio em massa no Telegram que dificultam ainda mais.
O que isso significa para você?
Essa estratégia de enganar cibercriminosos novatos destaca os riscos de utilizar ferramentas de fontes duvidosas. Ao usar esses programas, você não apenas compromete seu próprio dispositivo, mas também contribui para a disseminação de ameaças mais sofisticadas. É