Hackers Abusam Novamente do Sistema DRM do Windows Media Player

Hackers Recorrem a um Truque Antigo para Atacar o Windows Media Player

Diz o ditado: "Você não pode ensinar novos truques a um cachorro velho". Na maioria das vezes, isso realmente não se aplica a hackers. O cenário de segurança em constante mudança significa que, para ter sucesso, eles precisam melhorar constantemente suas táticas e procurar novas maneiras de infectar usuários de computador inocentes. Dito isto, em alguns casos, certas técnicas podem ser tão eficazes agora quanto eram há dez anos e, naturalmente, os hackers não se importam em reutilizá-las. Caso em questão: recurso de gerenciamento de direitos digitais do Windows Media Player.

Antes de entendermos como os hackers abusam do DRM do Windows Media Player, digamos algumas palavras sobre o próprio recurso. Os arquivos WMV vêm com URLs de autorização incorporados. Quando o arquivo é aberto com o Windows Media Player, o DRM é exibido e diz que os usuários precisam acessar o URL de autorização e confirmar se têm o direito de assistir ao vídeo ou pagar para obtê-lo. O objetivo de tudo isso é combater a pirataria.

Em 2005, o compartilhamento de filmes pirateados em redes ponto a ponto, como eMule e KaZaA, era bastante popular. As pessoas que não querem pagar pelo conteúdo não eram as únicas nessas redes. De vez em quando, os hackers lançavam um arquivo WMV que continha uma URL de autorização que levava a um Trojan. Como a mensagem vinha de um recurso legítimo em um dos programas internos do Windows, muitas pessoas confiaram nela e foram infectadas.

A Microsoft aprendeu sobre o problema e tentou diminuir o número de infecções colocando um mandado de busca no DRM. Ele disse que "as páginas da Web podem conter elementos que podem ser prejudiciais ao seu computador. É importante ter certeza de que o conteúdo é de uma fonte confiável antes de continuar".

Apesar disso, quase onze anos após o primeiro ataque, o DRM é novamente abusado. E as diferenças entre o que os pesquisadores viram em 2005 e o que estão vendo hoje são mínimas.

Especialistas do Cyren baixaram um arquivo chamado War-Dogs-2016-720p-BrRip-x264-SiNNERS e tentaram reproduzi-lo no Windows Media Player. Assim que o fizeram, a mensagem DRM apareceu dizendo que eles não têm o direito de assistir ao filme e que, se quiserem, precisam acessar o site do provedor de conteúdo. Um clique no botão Sim os levou a outro pop-up, que dizia que seus codecs de vídeo não estavam atualizados. Eles foram prometidos que, pressionando o botão Download, obterão o codec mais recente do DivX. E é exatamente isso que eles têm. Quando eles clicaram no botão, foi baixado um arquivo chamado codecfix.exe, que recuperou e instalou os codecs DivX mais recentes no site do desenvolvedor.

Infelizmente, além do software legítimo que os permite assistir ao filme, o codefix.exe também baixou um conta-gotas. Cyren não incluiu muitos detalhes sobre o tipo real de malware que ameaçava o sistema deles, mas é seguro dizer que, seja o que for, ter cuidado com os arquivos que você baixa e as mensagens DRM nas quais clica é a maneira mais segura de evitar esta infecção em particular.