Publicado:
Leitura 8 minutos
Duas semanas atrás eu recebi uma breve mensagem de um amigo no Facebook Messenger. Era apenas e tão somente uma carinha feliz e um link. A despeito de quem me mandara, aquilo era estranho. E a URL estava encurtada usando o serviço BIT.LY o método perfeito para esconder o destino.
Era malware, eu tinha 100% de certeza a respeito!! A mensagem viera de alguém com quem não tenho o hábito de falar, endereço “escondido”, mensagem curta aguçando a curiosidade… Mas este atrapalhado colunista que vos fala (escreve) não resistiu à tentação de “pegar a cobra com a mão”. Abri uma máquina virtual, ambiente controlado para estes experimentos nefastos. Trata-se de um “computador simulado” e que neste caso é reversível, ou seja, ao desligar este ambiente, ele volta ao ponto que estava antes de tudo começar. É a forma ideal para “brincar com fogo”.
Cliquei no link, abriu um documento de Google Docs, que tinha ao fundo uma tela com a foto do meu amigo e um símbolo de reprodutor de vídeo. Ideia genial!! O link em si não era malicioso, era um documento Google legítimo, mas com um link. Claro que eu cliquei!! Caí em uma tela que imitava o Youtube de novo um link para o vídeo. Ao clicar no vídeo apareceu uma mensagem falando que eu devia instalar um programa para conseguir assisti-lo. ERA ESSE o malware!!
Genial mais uma vez, a ameaça se encontrava no terceiro nível de “cliques”. Nenhum programa que trabalha com o conceito de URLs confiáveis pegaria esta ameaça logo de cara!! Meu espírito científico aguçado me obrigou a seguir em frente. Afinal dentro de um computador simulado e reversível (máquina virtual) nada poderia me acontecer, certo? Não mesmo!!
Como usei o Chrome, o malware implantou uma extensão no navegador que na hora não percebi. Como não vi mais nada acontecer, desliguei a VM e terminei de brincar de pegar a cobra com a mão! Mas qual não foi a minha surpresa quando no meu computador principal o Kaspersky Internet Security (KIS) começou a emitir alertas incessantes de “URL Maliciosa bloqueada” ou algo do tipo. Os alertas só paravam quando eu fechava o Chrome!
Como eu usei o Chrome na máquina virtual, o navegador sincroniza suas configurações pela nuvem e a despeito de eu ter desligado a VM, o Chrome dessa máquina REAL foi infectado pela extensão, mas o KIS não deixou passar nada e depois de uma centena de alertas ficou tudo certo, sem mais problemas.
Fim da história? Não!! Ao chegar em casa, tenho um desktop que também uso e nele o software de segurança é … (melhor não falar). Ao chamar o Chrome e abrir o Facebook em alguns minutos algumas pessoas começaram a me avisar “recebi esta mensagem de você, do que se trata?” ou “você está com vírus Xandó!” e “se até você pegou este vírus a coisa está feia”!!
Meu bom e velho amigo Jaime Shnaider, um dos que tivera o mesmo problema me passou a receita de bolo para a limpeza deste malware. Antes disso o próprio Facebook emitiu um alerta para mim dizendo que eu estava bloqueado até que fizesse uma varredura no meu PC com uma ferramenta da Kasperky ou TrendMicro. Instalei e rodei o Kaspersky, desinstalei o Chrome usando o REVO Uninstaller, reboot, varredura de novo, reinstalei o Chrome de novo e ficou tudo bem. Mas cerca de 50 mensagens tinham sido enviadas por mim para amigos da minha lista!!
Um por um, chamei-os no Facebook Messenger e contei o que tinha acontecido e alertando-os para não clicarem no link e me desculpando pelo péssimo incidente. Era o mínimo que eu poderia fazer.
Lições que ficam:
Segue abaixo o comunicado oficial da Kaspersky sobre este incidente no qual é explicada essa história toda de uma forma muito mais científica e abrangente do que eu expliquei!!
A propósito, conversei há poucos dias com Claudio Martinelli, Diretor Geral América Latina da Kaspersky e falamos sobre Ransomware, mas no final trocamos uma rápida ideia sobre este episódio do malware do Facebook. Vídeo abaixo.
Ataques começaram no México e também afetaram usuários no Brasil, Equador e Peru
São Paulo, Brasil, 29 de agosto de 2017 – Os pesquisadores da Kaspersky Lab descobriram novas pragas, distribuído por meio do Facebook Messenger, que analisa o navegador, sistema operacional e informações pessoais do usuário. O malware usa um código avançado e afeta vítimas com adware usando o aplicativo de mensagens do Facebook.
Os primeiros casos deste malware foram observados no início de agosto, e os ataques foram direcionados para usuários na Rússia e na América Latina, principalmente de países como Brasil, Equador, Peru e México.
O código malicioso é distribuído por meio de uma suposta mensagem de um dos amigos do usuário da rede social, enganando-a para clicar em um link que leva a um Google Doc. Ao abrir o documento, ele leva a uma foto do perfil do Facebook da vítima e cria uma página de destino que parece ser um vídeo. Quando tenta reproduzir o vídeo, o malware redireciona para um conjunto de sites que analisam o navegador, o sistema operacional e outras informações pessoais do usuário.
“Este método não é novo. O adware usa a técnica de cadeia de domínios, que redirecionam e rastreiam usuários através de sites mal-intencionados, dependendo de recursos como idioma, localização geográfica, sistema operacional, informações do navegador, complementos instalados e cookies, entre outros. Ao fazer isso, ele basicamente move o navegador através de um conjunto de páginas da Web e, usando cookies de rastreamento, monitora as atividades, exibe determinados anúncios e até mesmo executa ações para que os usuários possam clicar nos links. Todos sabemos não é recomendado clicar em links desconhecidos, mas esta técnica basicamente o obriga a fazê-lo”, diz Fabio Assolini, analista sênior de segurança da Kaspersky Lab.
Os analistas também detectaram que o malware redireciona o usuário para diferentes endereços da web de acordo com o navegador utilizado. O uso do Firefox leva o usuário a uma atualização falsa do Flash, solicitando o download de um arquivo .EXE marcado como adware. Ao usar o Chrome, por exemplo, o usuário é redirecionado para um site espelho do YouTube, que exibe uma falsa mensagem de erro que tenta enganar o usuário – a mensagem pede para baixar uma extensão do navegador da loja online do Google, tentando instalar outro arquivo no computador. Ao usar o Safari, algo muito parecido acontece com o Firefox, já que aparece uma falsa atualização do Flash Media Player que instala um arquivo executável .dmg no Mac, se clicado.
A investigação atual não sugere que nenhum malware, como trojans ou exploits, seja baixado nos dispositivos. No entanto, os cibercriminosos por trás desse ataque provavelmente ganharão dinheiro com publicidade não solicitada e acesso a muitas contas do Facebook.
A Kaspersky recomenda estar alerta e não clicar em links suspeitos. Além disso, instale uma solução de segurança confiável como Kaspersky Internet Security ou Kaspersky Total Security e execute uma verificação do sistema regularmente para verificar possíveis infecções.
Engenheiro e Administrador por formação, mas informatólogo por vocação. Antenado com fatos do dia a dia, amante de tecno- logia, corridas de rua e F1.
Login
