terça-feira, 29 de agosto de 2017

Kaspersky descreve a anatomia de um ataque via Facebook. Eu caí!!!

Duas semanas atrás eu recebi uma breve mensagem de um amigo no Facebook Messenger. Era apenas e tão somente uma carinha feliz e um link. A despeito de quem me mandara, aquilo era estranho. E a URL estava encurtada usando o serviço BIT.LY o método perfeito para esconder o destino.

Era malware, eu tinha 100% de certeza a respeito!! A mensagem viera de alguém com quem não tenho o hábito de falar, endereço “escondido”, mensagem curta aguçando a curiosidade... Mas este atrapalhado colunista que vos fala (escreve) não resistiu à tentação de “pegar a cobra com a mão”. Abri uma máquina virtual, ambiente controlado para estes experimentos nefastos. Trata-se de um “computador simulado” e que neste caso é reversível, ou seja, ao desligar este ambiente, ele volta ao ponto que estava antes de tudo começar. É a forma ideal para “brincar com fogo”.

Cliquei no link, abriu um documento de Google Docs, que tinha ao fundo uma tela com a foto do meu amigo e um símbolo de reprodutor de vídeo. Ideia genial!! O link em si não era malicioso, era um documento Google legítimo, mas com um link. Claro que eu cliquei!! Caí em uma tela que imitava o Youtube de novo um link para o vídeo. Ao clicar no vídeo apareceu uma mensagem falando que eu devia instalar um programa para conseguir assisti-lo. ERA ESSE o malware!!

Genial mais uma vez, a ameaça se encontrava no terceiro nível de “cliques”. Nenhum programa que trabalha com o conceito de URLs confiáveis pegaria esta ameaça logo de cara!! Meu espírito científico aguçado me obrigou a seguir em frente. Afinal dentro de um computador simulado e reversível (máquina virtual) nada poderia me acontecer, certo? Não mesmo!!

Como usei o Chrome, o malware implantou uma extensão no navegador que na hora não percebi. Como não vi mais nada acontecer, desliguei a VM e terminei de brincar de pegar a cobra com a mão! Mas qual não foi a minha surpresa quando no meu computador principal o Kaspersky Internet Security (KIS) começou a emitir alertas incessantes de “URL Maliciosa bloqueada” ou algo do tipo. Os alertas só paravam quando eu fechava o Chrome!

Como eu usei o Chrome na máquina virtual, o navegador sincroniza suas configurações pela nuvem e a despeito de eu ter desligado a VM, o Chrome dessa máquina REAL foi infectado pela extensão, mas o KIS não deixou passar nada e depois de uma centena de alertas ficou tudo certo, sem mais problemas.

Fim da história? Não!! Ao chegar em casa, tenho um desktop que também uso e nele o software de segurança é ... (melhor não falar). Ao chamar o Chrome e abrir o Facebook em alguns minutos algumas pessoas começaram a me avisar “recebi esta mensagem de você, do que se trata?” ou “você está com vírus Xandó!” e “se até você pegou este vírus a coisa está feia”!!

Meu bom e velho amigo Jaime Shnaider, um dos que tivera o mesmo problema me passou a receita de bolo para a limpeza deste malware. Antes disso o próprio Facebook emitiu um alerta para mim dizendo que eu estava bloqueado até que fizesse uma varredura no meu PC com uma ferramenta da Kasperky ou TrendMicro. Instalei e rodei o Kaspersky, desinstalei o Chrome usando o REVO Uninstaller, reboot, varredura de novo, reinstalei o Chrome de novo e ficou tudo bem. Mas cerca de 50 mensagens tinham sido enviadas por mim para amigos da minha lista!!

Um por um, chamei-os no Facebook Messenger e contei o que tinha acontecido e alertando-os para não clicarem no link e me desculpando pelo péssimo incidente. Era o mínimo que eu poderia fazer.

Lições que ficam:

  1. Malwares estão em toda a parte e se dissimulam muito bem! 
  2. Você não é mais esperto que os criadores dos malwares, eles são “profissionais” 
  3. Máquinas virtuais apenas já não são suficientes para experimentos perigosos 
  4. Malware também se dissemina pela nuvem (as configurações do meu Chrome) 
  5. Ter uma solução de segurança robusta e homogênea em seus dispositivos. A outra que tinha é de boa procedência, PAGA e não segurou o malware 
  6. Por fim, pegar a cobra com a mão, não é uma boa ideia, ela acaba te picando!! 


Segue abaixo o comunicado oficial da Kaspersky sobre este incidente no qual é explicada essa história toda de uma forma muito mais científica e abrangente do que eu expliquei!!

A propósito, conversei há poucos dias com Claudio Martinelli, Diretor Geral América Latina da Kaspersky e falamos sobre Ransomware, mas no final trocamos uma rápida ideia sobre este episódio do malware do Facebook. Vídeo abaixo.



PAPOFÁCIL #036 Kaspersky Como anda o Ransomware Claudio Martinelli

Novo malware distribuído por meio do Facebook Messenger afeta usuários na América Latina

Ataques começaram no México e também afetaram usuários no Brasil, Equador e Peru

São Paulo, Brasil, 29 de agosto de 2017 – Os pesquisadores da Kaspersky Lab descobriram novas pragas, distribuído por meio do Facebook Messenger, que analisa o navegador, sistema operacional e informações pessoais do usuário. O malware usa um código avançado e afeta vítimas com adware usando o aplicativo de mensagens do Facebook.

Os primeiros casos deste malware foram observados no início de agosto, e os ataques foram direcionados para usuários na Rússia e na América Latina, principalmente de países como Brasil, Equador, Peru e México.

 

O código malicioso é distribuído por meio de uma suposta mensagem de um dos amigos do usuário da rede social, enganando-a para clicar em um link que leva a um Google Doc. Ao abrir o documento, ele leva a uma foto do perfil do Facebook da vítima e cria uma página de destino que parece ser um vídeo. Quando tenta reproduzir o vídeo, o malware redireciona para um conjunto de sites que analisam o navegador, o sistema operacional e outras informações pessoais do usuário.
 

"Este método não é novo. O adware usa a técnica de cadeia de domínios, que redirecionam e rastreiam usuários através de sites mal-intencionados, dependendo de recursos como idioma, localização geográfica, sistema operacional, informações do navegador, complementos instalados e cookies, entre outros. Ao fazer isso, ele basicamente move o navegador através de um conjunto de páginas da Web e, usando cookies de rastreamento, monitora as atividades, exibe determinados anúncios e até mesmo executa ações para que os usuários possam clicar nos links. Todos sabemos não é recomendado clicar em links desconhecidos, mas esta técnica basicamente o obriga a fazê-lo", diz Fabio Assolini, analista sênior de segurança da Kaspersky Lab.

Os analistas também detectaram que o malware redireciona o usuário para diferentes endereços da web de acordo com o navegador utilizado. O uso do Firefox leva o usuário a uma atualização falsa do Flash, solicitando o download de um arquivo .EXE marcado como adware. Ao usar o Chrome, por exemplo, o usuário é redirecionado para um site espelho do YouTube, que exibe uma falsa mensagem de erro que tenta enganar o usuário – a mensagem pede para baixar uma extensão do navegador da loja online do Google, tentando instalar outro arquivo no computador. Ao usar o Safari, algo muito parecido acontece com o Firefox, já que aparece uma falsa atualização do Flash Media Player que instala um arquivo executável .dmg no Mac, se clicado.

 

A investigação atual não sugere que nenhum malware, como trojans ou exploits, seja baixado nos dispositivos. No entanto, os cibercriminosos por trás desse ataque provavelmente ganharão dinheiro com publicidade não solicitada e acesso a muitas contas do Facebook.

A Kaspersky recomenda estar alerta e não clicar em links suspeitos. Além disso, instale uma solução de segurança confiável como Kaspersky InternetSecurity ou Kaspersky TotalSecurity e execute uma verificação do sistema regularmente para verificar possíveis infecções.

Nenhum comentário:

Postar um comentário