Um malware distribuído via Facebook infectou mais de 10 mil usuários em apenas 48 horas, informou a Kaspersky Lab, que verificou a ação entre os dias 24 e 27 de junho. Os mais afetados pelo ataque foram os brasileiros, que correspodem à fatia de 37% do total de casos. Polônia (8%), Peru (7%), Colômbia (7%) e México (7%) foram os países que também registraram mais ocorrências.
Ainda segundo a empresa, o vírus foi disseminado através de notificações – aquelas exibidas por alertas de marcação em fotos ou em publicações cotidianas, como comentários ou atualização de status.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
O phishing funcionava a partir de duas fases: na primeira, um trojan era baixado pelo PC, o que resultava na instalação de uma extensão maliciosa no Chrome. A partir disso, a segunda fase do ataque era então executada; ao acessar a rede social usando o browser comprometido, o controle da conta era tomado.
Países afetados pelo ataque.
Como o ataque foi executado
Na prática, o vírus agiu desta forma: no momento em que o usuário clicava sobre a notificação, o arquivo malicioso passava a encerrar a sessão atual. Em seguida, uma nova página que exigia um novo login para acesso ao Facebook era aberta: quando nome de usuário e senha eram informados, o malware baixado em segundo plano era ativado, roubando e alterando as preferências de privacidade da vítima.
Print do arquivo executável baixado após o acesso ao link infectado.
A extração indevida de scripts e de dados de conta pode ser usada para várias atividades ilegais, tais como roubo de identidade, envio de spams e fraudes bancárias, por exemplo. A distribuição do malware acontecia no momento em que o programa malicioso era baixado, quando a notificação falsa de marcação era enviada aos demais contatos do usuário infectado.
iOS e Android seguros
Os ataques foram feitos principalmente via Google Chrome e Mozilla Firefox. Enquanto o iOS e Android são seguros e não puderam, assim, ser infectados pelo novo vírus, o Windows 10 Mobile correu o risco também de ser comprometido.
Verifique seu Google Chrome
- Abra o navegador, clique sobre o ícone de sanduíche e acesse a opção “Configurações”;
- Em “Extensões”, procure pelo arquivo “thnudoaitawxjvuGB”, sem aspas.
A técnica usada pelos hackers é conhecida como "phishing"
Pasta "sequestrada"
Conforme bem observado por Alan S., um dos nossos leitores, o vírus é capaz de fazer com que arquivos do sistema assumam o nome "Mozila". Execute o processo descrito abaixo para verificar se as pastas do seu computador foram "sequestradas" pelo malware:
- Abra o Menu Iniciar e execute o comando iniciar (ou aperte Win+R);
- Em seguida, abra o diretório %AppData%\Mozila e procure pelos arquivos e pastas “ekl.au3” e “autoit.exe”.
Se os arquivos mencionados acima forem encontrados, é provável que sua conta tenha sido atacada.
Google já removeu extensão infectada da Web Store; Facebook bloqueou método de distribuição do malware
Medidas de segurança
Ao menos uma das extensões usadas durante os ataques foi removida pela Google da Web Store. Segundo o Facebook, o método usado para a distribuição do vírus (via notificações) já foi também encerrado. Para combater a prática de cibercriminosos, execute as recomendações de segurança sugeridas pela Kaspersky Lab:
- 1. Instale uma solução antimalware em todos os dispositivos e mantenha o software do sistema operacional atualizado (veja algumas opções nesta página);
- 2. Evite clicar em links contidos em mensagens de pessoas que você não conhece ou em mensagens de amigos que você não estava esperando;
- 3. Sempre tenha cuidado quando estiver on-line e nas redes sociais;
- 4. Implemente as configurações de privacidade adequadas nas redes sociais, como o Facebook.
Clique aqui para consultar detalhes técnico quanto à forma de atuação do vírus.
Categorias