Recentemente, a empresa de cibersegurança Acronis TRU identificou centenas de repositórios do GitHub distribuindo malwares para jogadores. Esses agentes maliciosos são disfarçados de “trapaças grátis” (ou cheats) para praticamente todos os jogos online disponíveis no mercado. Para ocultar o vírus, são usadas imagens (esteganografia) e sites de terceiros, o que dificulta a análise e detecção por antivírus e especialistas.
Entendendo o Infostealer Vidar Stealer 2.0
O malware em questão é o infostealer Vidar Stealer 2.0, uma evolução do Lumma, que já havia se inspirado na versão 1.0 do primeiro vírus. Ele é capaz de roubar credenciais de navegador, cookies e dados do autocomplete, bem como carteiras de criptomoedas, arquivos locais e do Telegram e Discord, e senhas de FTP e SSH.
Como o malware chega aos jogadores
Os cibercriminosos escolheram um ambiente ideal para espalhar o malware: o mercado cinza de trapaças. Esse tipo de programa costuma ser baixado de sites não oficiais e, por padrão, aciona avisos de segurança. Seus usuários são incentivados a não reportarem incidentes, já que estão trapaceando, e geralmente possuem algum bem valioso aos golpistas em suas contas.
Contas de jogadores comprometidas podem ter itens raros, conquistas e progressões, bem como moeda interna do jogo, que podem ser revendidas no mercado cinza com risco mínimo aos cibercriminosos.
Quem baixa trapaças geralmente são crianças e jovens adultos, com menos discernimento acerca das ameaças digitais. No caso do Vidar 2.0, o malware ainda é uma evolução técnica considerável de seu antecessor, sendo mais difícil de se detectar.
Evolução e funcionamento do Vidar 2.0
O infostealer foi reescrito de C++ para C, tendo várias camadas de execução e construção diferente para cada vítima. Ele é capaz de detectar debuggers, máquinas virtuais e usa estrutura de comando e controle via bots de Telegram e perfis na Steam. Ele surgiu no vácuo da queda de infostealers anteriores, como LummaStealer e Rhadamantys.
O Vidar 2.0 opera na modalidade malware-as-a-service (MaaS), com assinaturas custando entre R$ 670 e R$ 3.900, a depender do tempo de uso e capacidades. A versão atual foi lançada em janeiro de 2023 e tem ganhado atualizações desde então, adquirindo novos vetores de ataque.
Como se Proteger de Malwares Disfarçados de Trapaças
Para evitar ataques do tipo, usuários precisam ter proteções modernas em seus PCs, como EDRs, além de manter aplicativos e sistemas operacionais atualizados e com correções de segurança funcionando. Não ignore avisos de arquivos maliciosos e evite ao máximo baixar aplicativos de fontes não-oficiais: prefira sempre softwares confiáveis e legítimos, evitando trapaças e pirataria.
Além disso, é fundamental estar atento a ofertas que parecem boas demais para ser verdade, especialmente quando envolvem trapaças para jogos online. Essas ofertas geralmente são iscas perfeitas para roubar suas informações pessoais e financeiras.