A tela azul da morte é provavelmente a coisa mais desagradável que os usuários do Windows já viram. Na maioria dos casos, é um sinal alarmante de que algo está errado com o hardware ou software do seu computador. Alguns erros podem significar que um ou mais componentes serão substituídos em breve. No entanto, a Tela Azul da Morte nem sempre é o que afirma ser. Engenhoso os hackers decidiram aproveitar o medo das pessoas de BSOD e quebras de PC.
Como mensagens BSOD falsas enganam as vítimas
Hoje, golpistas de tecnologia inescrupulosos tomam vantagem dos usuários’ ignorância e induzi-los a acreditar que há um problema no computador. Além disso, eles cobram de suas vítimas por suporte técnico ou serviços desnecessários. Por exemplo, pesquisadores descobriram recentemente um site falso com conteúdo adulto que pode causar danos a quem o visita. A questão é que toda vez que um usuário abre o site, a executável malicioso é baixado automaticamente. Como este executável usa o ícone do VLC media player, parece um arquivo de vídeo. Por isso, um vítima desatenta pode tentar abri-lo pensando que é um arquivo de vídeo.
Assim que a vítima executar este arquivo, o malware fará o trabalho sujo. Ele ocultará o cursor do mouse da tela e exibirá uma janela pop-up falsa de BSOD cobrindo toda a tela. No entanto, ao contrário da tela azul da morte, que contém um código QR e breves informações sobre o erro, o BSOD falso inclui um número de telefone. Por aqui, golpistas tentam fazer o usuário pensar que seu PC está infectado e ligar para o número indicado para resolver o problema. Se a vítima ligar para o número, ele entrará em contato com os golpistas, quem vai, por sua vez, usar engenharia social, exagerando muito o “problema”. Tudo isso é feito para convencer o usuário pagar por suporte técnico ou produto inútil.
É uma tática comum quando golpistas de tecnologia usam arquivos executáveis para cometer golpes. Geralmente enviam e-mails com um anexo que parece um documento legítimo. No entanto, o arquivo contém malware que inunda os usuários com pop-ups falsos solicitando aos usuários to pay for tech support or services. Mais frequente, estes são pseudo-antivírus que se disfarçam de software legítimo, mas são maliciosos.
Como funciona a falsa Tela Azul da Morte
O site que contém o conteúdo explícito está localizado em hxxps[:]//meudoc.hsc-lb[.]líquido/, que foi determinado como um subdomínio de hsc-lb[.]líquido. Este domínio representa o provedor de saúde Hopital Du Sacre Coeur no Líbano. Uma peculiaridade do site é que sempre que um usuário visita o site, há um redirecionamento para hxxps[:]//meudoc.hsc-lb[.]líquido. /milf-pornvideo-pornhubdviideos[.]exe e começa a baixar o executável malicioso. Como o site usa a função de download automático em segundo plano, e a maioria dos navegadores baixa automaticamente os arquivos para o diretório de download padrão, a maioria dos usuários não notará quando o arquivo já estiver na pasta de download.
Um arquivo executável destina-se a usuários do Windows e é um arquivo binário .NET de 32 bits. Os fraudadores alteraram o carimbo de data/hora deste arquivo para interferir no processo de resposta a incidentes. Uma vez executado, o binário cria um formulário do Windows chamado “Formulário 1” e usa o Recursos.ResourceManager.GetObject método para recuperar a imagem de fundo desse formulário do diretório de recursos. Como acima mencionado, embora visualmente pareça um BSOD, é um pop-up falso porque as mensagens reais contêm uma mensagem de erro e não um número de telefone.
Para ser mais realista, o malware usa o Tela.PrimaryScreen.Bounds propriedade para preencher a tela inteira e o cursor.ocultar() método para ocultar o cursor. O binário também inicializa um Leitor de som objeto nomeado “reprodutor de som” com um arquivo de áudio chamado “música de fundo” que também está localizado no diretório de recursos do executável. O Jogar() e PlayLooping() métodos da classe SoundPlayer são usados para reproduzir e repetir o arquivo de áudio. A mensagem de áudio informa que o computador do usuário foi bloqueado devido a uma infecção por vírus ou atividade ilegal. Para desbloquear, você precisa ligar para o helpdesk falso imediatamente.
Como evitar BSOD falso
Como podemos ver, golpistas usam várias estratégias enganar os usuários. Muitas vezes estes são métodos de intimidação e impacto psicológico, como mensagens de áudio e visuais, que fazem os usuários entrarem em contato com um número de suporte falso. As recomendações a seguir ajudarão você a evitar possíveis problemas:
- Não clique em links que pareçam suspeitos.
- Certifique-se de baixar de fontes confiáveis.
- Evite suporte técnico ou serviços oferecidos através de mensagens ou chamadas não solicitadas.
- Atualize seu sistema operacional e software regularmente. É necessário corrigir quaisquer vulnerabilidades de segurança.
- Usar software antivírus confiável. Isso impedirá que você inicie e às vezes baixe um arquivo malicioso.
Além disso, você pode alterar as configurações do seu navegador e configurá-lo para pedir que você escolha um local de download ou até mesmo bloquear downloads completamente. A maioria dos navegadores fornece configurações para controlar a execução de arquivos e avisar sobre possíveis ameaças à abertura de downloads de sites..