Jump to content

Recommended Posts

  • Supporter - Nibble
Posted

Fala aí galera do bem!

Esse é meu primeiro tópico então gostaria de dar uma leve introdução sobre minha pessoa e dar um contexto do tópico também.
Trabalho na área de tecnologia desde 2020 como desenvolvedor de software web. Já tive experiência com redes e servidores de maneira bem superficial na minha adolescência quando criava servidores de jogos online.
Atualmente venho despertando muito mais interesse do que já tive em baixo nível, mais especificamente em engenharia reversa.

O que me motivou a dar esse passo de reservar uma grande parte do meu tempo em estudos de RE foi que estou desenvolvendo um novo servidor de um jogo muito antigo da minha infância e preciso desse conhecimento para evoluir de maneira saudável nesse projeto.

Dito isso, durante esse desenvolvimento acabei me deparando com diversas "ferramentas", seja para fazer unpack de arquivos, para decrypt e encrypt ou tradução. Esses arquivos eram executáveis em sua maioria e algum deles estava infectado.

Por ser comum nesse meio, acabei me descuidando muito e executei muitos arquivos exe suspeitos em minha máquina, pra novidade de 0 pessoas fui hackeado :(
Parece muito uma invasão silenciosa, muito perturbador. Perdi contas principalmente de jogos, riot account e EA; minha steam foi acessada e uns itens de coleção foram vendidos a preço de banana (meio que uma transferência pra outro usuário talvez).

Nada disso foi notificado via e-mail ou no meu celular, por isso eu estou estranhando tanto, as mensagens de confirmação de código via e-mail estavam lá, mas no SPAM.Ontem a noite me toquei dessa invasão, formatei meu computador, instalei um norton 360 free que a placa mãe oferece e fiquei mais tranquilo. Acessei meu email, troquei a senha para uma bem mais forte, troquei a senha das minhas coisas principais e fui dormir. Hoje quando acordo me deparo com um email das 4h da manhã: "Atividade suspeita na sua conta". Aparentemente, depois de ter formatado minha máquina e trocado a minha senha, o hacker ainda tem acesso ao meu email de alguma forma. Não sei se foi uma tentativa de login que falhou ou se ele realmente tem essa nova senha mas o google entendeu a situação e bloqueou, realmente não sei.

Com certeza estou bem assustado com isso, nunca tive tanto receio de ser hackeado até ser. É uma sensação muito ruim e tals mas confesso que o que mais me intriga não é que alguém tem acesso às minhas coisas, e sim, como essa pessoa está fazendo isso, eu realmente não consigo entender como alguém tem acesso mesmo depois de todas as medidas que tomei.

Mesmo não sendo a minha área de estudo no momento eu fiquei bem interessado em saber como isso pode ter acontecido (obviamente eu fui juvenil de abrir exe suspeito).
Se puderem contribuir gostaria de destinar esse tópico para trocarmos uma ideia sobre esse tipo de ataque. Eu gostaria muito de entender melhor esse fluxo de ataque e como eu poderia me livrar dessa infecção.

 

Algumas informações que podem ser úteis:

  • Tenho dual boot sem gerenciador de boot (linux para o trabalho e windows para o uso pessoal).
  • Não deixo minha máquina ligada sem estar utilizando.
  • Estou utilizando Windows 11 Pro original.
  • Administrators
Posted

Oi @mateus.mota,

Apesar do infeliz ocorrido, o tópico é muito interessante, valeu por compartilhar com a gente!

A comunidade gamer é bastante talentosa, então eu não descartaria ameaças mais avançadas (rootkits), movimentações laterais e coisas do tipo. Eu não sei nos Windows atuais se uma reinstalação de fato formata ou só zera as configurações e restaura arquivos a partir de alguma partição. Se o malware infectou tal partição, ele pode estar persistente ainda.

Você tem outros dispositivos na sua rede? Desconfiando de movimentação lateral, poderia ser possível que o atacante infectou outro dispositivo mantém persistência lá? Roteadores, câmeras de segurança, etc, qualquer coisa que tenha uma shell na real. Eu resetaria tudo para as configurações de fábrica.

Sobre as contas em si, além de mudar a senha, recomendo:

  • Verificar se o 2FA está habilitado. Se não, habilitar por app (não por SMS). É legal desabilitar e reabilitar também para mudar a chave.
  • Verificar as sessões ativas e desconectar todas elas (inclusive a sua).
  • Se você sincroniza dados de browser, apagar tudo (cookies, arquivos temporários, extensões, etc).

Tem a possibilidade de você estar reinstalando o malware de algum lugar.. OneDrive, Dropbox, etc?

Sobre AV, eu compraria um se fosse possível. Uma vez um vídeo sobre o assunto.

Vamos falando aí. Tem muita gente boa aqui na comunidade que pode dar várias ideias legais!

Abraço!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...