Duas semanas atrás eu recebi uma breve mensagem de um amigo no Facebook
Messenger. Era apenas e tão somente uma carinha feliz e um link. A despeito de
quem me mandara, aquilo era estranho. E a URL estava encurtada usando o serviço
BIT.LY o método perfeito para esconder o destino.
Era malware, eu tinha 100% de certeza a respeito!! A mensagem viera de alguém
com quem não tenho o hábito de falar, endereço “escondido”, mensagem curta aguçando
a curiosidade... Mas este atrapalhado colunista que vos fala (escreve) não
resistiu à tentação de “pegar a cobra com a mão”. Abri uma máquina virtual,
ambiente controlado para estes experimentos nefastos. Trata-se de um “computador
simulado” e que neste caso é reversível, ou seja, ao desligar este ambiente,
ele volta ao ponto que estava antes de tudo começar. É a forma ideal para “brincar
com fogo”.
Cliquei no link, abriu um documento de Google Docs,
que tinha ao fundo uma tela com a foto do meu amigo e um símbolo de reprodutor
de vídeo. Ideia genial!! O link em si não era malicioso, era um documento
Google legítimo, mas com um link. Claro que eu cliquei!! Caí em uma tela que
imitava o Youtube de novo um link para o vídeo. Ao clicar no vídeo apareceu uma
mensagem falando que eu devia instalar um programa para conseguir assisti-lo.
ERA ESSE o malware!!
Genial mais uma vez, a ameaça se encontrava no terceiro nível de “cliques”.
Nenhum programa que trabalha com o conceito de URLs confiáveis pegaria esta
ameaça logo de cara!! Meu espírito científico aguçado me obrigou a seguir em
frente. Afinal dentro de um computador simulado e reversível (máquina virtual)
nada poderia me acontecer, certo? Não mesmo!!
Como usei o Chrome, o malware implantou uma extensão no navegador que na hora
não percebi. Como não vi mais nada acontecer, desliguei a VM e terminei de
brincar de pegar a cobra com a mão! Mas qual não foi a minha surpresa quando no
meu computador principal o Kaspersky Internet Security (KIS) começou a emitir
alertas incessantes de “URL Maliciosa bloqueada” ou algo do tipo. Os alertas só
paravam quando eu fechava o Chrome!
Como eu usei o Chrome na máquina virtual, o navegador sincroniza suas
configurações pela nuvem e a despeito de eu ter desligado a VM, o Chrome dessa
máquina REAL foi infectado pela extensão, mas o KIS não deixou passar nada e
depois de uma centena de alertas ficou tudo certo, sem mais problemas.
Fim da história? Não!! Ao chegar em casa, tenho um desktop que também uso e
nele o software de segurança é ... (melhor não falar). Ao chamar o Chrome e
abrir o Facebook em alguns minutos algumas pessoas começaram a me avisar “recebi
esta mensagem de você, do que se trata?” ou “você está com vírus Xandó!” e “se
até você pegou este vírus a coisa está feia”!!
Meu bom e velho amigo Jaime Shnaider, um dos que tivera o mesmo problema me passou
a receita de bolo para a limpeza deste malware. Antes disso o próprio Facebook
emitiu um alerta para mim dizendo que eu estava bloqueado até que fizesse uma
varredura no meu PC com uma ferramenta da Kasperky ou TrendMicro. Instalei e
rodei o Kaspersky, desinstalei o Chrome usando o REVO Uninstaller, reboot,
varredura de novo, reinstalei o Chrome de novo e ficou tudo bem. Mas cerca de 50
mensagens tinham sido enviadas por mim para amigos da minha lista!!
Um por um, chamei-os no Facebook Messenger e contei o que tinha acontecido e
alertando-os para não clicarem no link e
me desculpando pelo péssimo incidente. Era o mínimo que eu poderia fazer.
Lições que ficam:
- Malwares estão em toda a parte e se dissimulam muito bem!
- Você não é mais esperto que os criadores dos malwares, eles são “profissionais”
- Máquinas virtuais apenas já não são suficientes para experimentos perigosos
- Malware também se dissemina pela nuvem (as configurações do meu Chrome)
- Ter uma solução de segurança robusta e homogênea em seus dispositivos. A outra que tinha é de boa procedência, PAGA e não segurou o malware
- Por fim, pegar a cobra com a mão, não é uma boa ideia, ela acaba te picando!!
Segue abaixo o comunicado oficial da Kaspersky sobre
este incidente no qual é explicada essa história toda de uma forma muito mais
científica e abrangente do que eu expliquei!!
A propósito, conversei há poucos dias com Claudio Martinelli, Diretor Geral América
Latina da Kaspersky e falamos sobre Ransomware, mas no final trocamos uma
rápida ideia sobre este episódio do malware do Facebook. Vídeo abaixo.
PAPOFÁCIL #036 Kaspersky
Como anda o Ransomware Claudio Martinelli
Novo malware distribuído por meio do Facebook Messenger afeta usuários na América Latina
Ataques começaram no México e também afetaram usuários no
Brasil, Equador e Peru
São Paulo, Brasil, 29 de agosto de 2017 – Os pesquisadores da Kaspersky Lab descobriram novas pragas, distribuído por meio do Facebook Messenger, que analisa o navegador, sistema operacional e informações pessoais do usuário. O malware usa um código avançado e afeta vítimas com adware usando o aplicativo de mensagens do Facebook.
Os primeiros casos deste malware foram observados no início de agosto, e os ataques foram direcionados para usuários na Rússia e na América Latina, principalmente de países como Brasil, Equador, Peru e México.
São Paulo, Brasil, 29 de agosto de 2017 – Os pesquisadores da Kaspersky Lab descobriram novas pragas, distribuído por meio do Facebook Messenger, que analisa o navegador, sistema operacional e informações pessoais do usuário. O malware usa um código avançado e afeta vítimas com adware usando o aplicativo de mensagens do Facebook.
Os primeiros casos deste malware foram observados no início de agosto, e os ataques foram direcionados para usuários na Rússia e na América Latina, principalmente de países como Brasil, Equador, Peru e México.
O código malicioso é distribuído por meio de uma suposta mensagem de um dos amigos do usuário da rede social, enganando-a para clicar em um link que leva a um Google Doc. Ao abrir o documento, ele leva a uma foto do perfil do Facebook da vítima e cria uma página de destino que parece ser um vídeo. Quando tenta reproduzir o vídeo, o malware redireciona para um conjunto de sites que analisam o navegador, o sistema operacional e outras informações pessoais do usuário.
"Este método não é novo. O adware usa a técnica de cadeia de domínios, que redirecionam e rastreiam usuários através de sites mal-intencionados, dependendo de recursos como idioma, localização geográfica, sistema operacional, informações do navegador, complementos instalados e cookies, entre outros. Ao fazer isso, ele basicamente move o navegador através de um conjunto de páginas da Web e, usando cookies de rastreamento, monitora as atividades, exibe determinados anúncios e até mesmo executa ações para que os usuários possam clicar nos links. Todos sabemos não é recomendado clicar em links desconhecidos, mas esta técnica basicamente o obriga a fazê-lo", diz Fabio Assolini, analista sênior de segurança da Kaspersky Lab.
Os analistas também detectaram que o malware redireciona o usuário para diferentes endereços da web de acordo com o navegador utilizado. O uso do Firefox leva o usuário a uma atualização falsa do Flash, solicitando o download de um arquivo .EXE marcado como adware. Ao usar o Chrome, por exemplo, o usuário é redirecionado para um site espelho do YouTube, que exibe uma falsa mensagem de erro que tenta enganar o usuário – a mensagem pede para baixar uma extensão do navegador da loja online do Google, tentando instalar outro arquivo no computador. Ao usar o Safari, algo muito parecido acontece com o Firefox, já que aparece uma falsa atualização do Flash Media Player que instala um arquivo executável .dmg no Mac, se clicado.
A investigação atual não sugere que nenhum malware, como trojans ou exploits, seja baixado nos dispositivos. No entanto, os cibercriminosos por trás desse ataque provavelmente ganharão dinheiro com publicidade não solicitada e acesso a muitas contas do Facebook.
A Kaspersky recomenda estar alerta e não clicar em links suspeitos. Além disso, instale uma solução de segurança confiável como Kaspersky InternetSecurity ou Kaspersky TotalSecurity e execute uma verificação do sistema regularmente para verificar possíveis infecções.
Nenhum comentário:
Postar um comentário