O Roblox é um dos sistemas de jogos mais populares do mundo. Em 2021, esta plataforma de jogos cresceu de 32,6 milhões de usuários ativos diários para quase 50 milhões, em 180 países; e mais da metade das crianças americanas estavam jogando Roblox. Além disso, dois terços de todas as crianças nos Estados Unidos entre 9 e 12 anos usam a plataforma. Na lista de países Top 10, liderada pelos Estados Unidos, o Brasil é o segundo país onde as pessoas passaram mais tempo se conectando e criando na plataforma em 2021, o que reflete o status da Roblox como um importante hub social em determinados mercados.

Por isso, não é surpresa alguma que os atacantes estejam procurando se conectar a esse serviço. De acordo com a Check Point Research (CPR), em seu Relatório de Phishing de Marca (Brand Phishing Report) referente ao período de outubro a dezembro de 2021, o Roblox foi a 8ª marca mais imitada estando à frente do Paypal e da Apple.

Agora, um ataque mais malicioso está em andamento. A partir de março de 2022, os pesquisadores da Avanan descobriram um cavalo de Troia do OneDrive chamado Synpase X. É um mecanismo de script que é usado principalmente por crianças para obter códigos de trapaça (cheat) para o jogo Roblox. O “cheat code” realmente baixa arquivos em seu computador, um dos quais é um cavalo de Troia de backdoor. Esta ferramenta tem um propósito legítimo e possui arquivos seguros, no entanto, há técnicas que também estão sendo adotadas em programas maliciosos e podem ser facilmente exploradas por malware.

Essa ferramenta insere um arquivo executável que instala arquivos de biblioteca (DLL) na pasta do sistema Windows, dando ao programa o potencial de quebrar aplicativos, corromper ou remover dados ou enviar informações de volta ao atacante. No relatório, os pesquisadores da Avanan analisaram como os cibercriminosos estão instalando cavalos de Troia de backdoor por meio de scripts Roblox.

Além da capacidade de quebrar aplicativos, o que é particularmente preocupante nesse ataque é o fato de o Roblox ser jogado principalmente por crianças. Isso significa que ele pode ser facilmente instalado em um computador pessoal, o qual pode ter pouca ou nenhuma proteção antivírus. Mas, também há um risco corporativo. À medida que as pessoas continuam trabalhando em casa, os funcionários podem instalar esses arquivos em seus computadores de trabalho. Se o programa não é baixado de um serviço como OneDrive ou Google Drive, o mesmo pode não ser descoberto.

Esse arquivo malicioso ilustra perfeitamente a importância da segurança de confiança zero (Zero Trust). Assim, as principais práticas recomendadas aos profissionais de segurança para proteção contra esses ataques são:

• Lembrar os usuários de não baixarem arquivos de sites não confiáveis em computadores de trabalho.
• Empregar segurança de varredura de malware em aplicativos de compartilhamento de arquivos, como OneDrive ou Google.
• Implementar software antivírus em todos os computadores, incluindo os pessoais.