Como já deve ser do conhecimento de muitos,
nesta ultima segunda-feira, 08/06, tivemos uma onda de ataques por vírus,
disseminados através no Facebook, que consiste em marcar várias pessoas em uma
publicação com conteúdo erótico, estimulando assim a curiosidade dos usuários,
que ao clicarem nestes supostos vídeos, teriam suas máquinas infectadas e que
passariam a ser um novo disseminador desta “praga”.
Dezenas de mídias digitais publicaram sobre
essa ameaça, explicando superficialmente seu funcionamento e prometendo um
passo-a-passo para sua remoção. Porém, a realidade é que nenhuma publicação
abordou o tema de forma assertiva e completa, explicando como funciona o
processo de infecção, disseminação e remoção. Você sabe o real motivador deste
tipo de “praga” digital? Qual é o motivo ou ganho que os Hackers (se é que
podemos chama-los assim) possuem em disseminar esse vírus, principalmente em
redes social? Qual impacto é gerado aos usuários da rede?
Esta publicação visa justamente responder as
essas perguntar, e ajudar os usuários na correta remoção e no entendimento de
seu funcionamento.
A
análise técnica
Primeiramente , localizamos uma destas
publicações e posicionarmos o mouse sobre a imagem. Desta forma, teremos
informações sobre o endereço a qual ela irá redirecionar.
Esta URL pode variar, sendo nesta análise a
seguinte URL apontada:
A URL acima, apenas nos direciona para:
O código desta página foi “debugado” e um
componente JavaScript foi localizado. Seu código estava Criptografado e foi
necessário a utilização de um serviço para reversão do código.
De posse do código Descriptografado, a
análise foi realizada, identificando que o mesmo força a instalação de uma
Extensão (Plug-In) do Google Chrome, chamada “Selectra Audio Recorder”.
Com o auxílio de uma ferramenta On-Line,
foi realizado o Download desta Extensão para uma posterior análise de seus
artefatos.
As extensões do Google Chrome possui o
formato .CRX, porém, para ter acesso ao seu conteúdo, basta renomea-lo para a
extensão .ZIP e abri-lo com o WinRAR.
Neste caso, o arquivo malicioso estava
nomeado como “backgroud.html” que que por sua vez, acionava 3 arquivos
JavaScripts da pasta JS.
Embora cada um destes arquivos .js tinham
funções distintas, em resumo, era realizado um redirecionamento para outras 2
URLs.
Sendo esta ultima URL a grande responsável
por elaborar o conteúdo falso publicado no Facebook e que por fim,
redirecionava o usuário ao sites apresentados a seguir.
Após uma longa análise de todos os códigos
e “saltando” entre diversas URLs, chegamos um uma informação bem relevante, que
nos apresenta a real intenção deste tipo de ameaça.
O trecho de código apresentado abaixo, nos
direciona para o site:
Este site é responsável por criações de
campanhas de publicidades para outros sites e serviços na Web, pagando aos
colaboradores, que os ajudam a gerar acessos, por cliques realizados. O ID=2191 é referente ao “cliente” desta
campanha, ou seja, o site que paga pelos serviços e que pretende ter o número
máximos de acessos em seu sistema.
Durante o processo de redirecionamento,
ainda existe a passagem por mais um site de publicidade Online, chamado:
Este cliente é apontado como uma site de
relacionamentos, de fontes duvidosas, mas com milhares de acessos e possíveis
cadastros.
Remova
a ameaça de forma efetiva
O processo de eliminação deste vírus é
muito simples, já que se trata de uma extensão do Google Chrome, basta acessar
a página de extensão do seu navegador através da URL chrome://extensions e
remover a extensão maliciosa, que neste caso é a “Selectra Audio Recorder”. Uma avaliação dos aplicativos instalados
no seu Facebook também pode ser importante, podendo ser verificado nas suas
configurações de “Preferência de Privacidade”,
desinstalando todos os aplicativos que achar suspeito.
Vale ressaltar que, ao contrário do que
muitas mídias dizem, alterar a senha do Facebook não afeta em nada o
funcionamento do Malware e não garante a proteção do usuário, porém, claro que
auxilia no processo de segurança de modo geral.
Conclusão
Embora muitas pessoas achem que este tipo
de Vírus visa a captura de senhas do Facebook dos usuários, essa análise
esclarece que o real objetivo deste tipo de ameaça, que utiliza redes sociais
como meio para propagação, é o de gerar uma quantidade enorme de clicks que são
automaticamente redirecionado para sites de campanhas web, promovendo um site
final, como o site de relacionamento apontado neste estudo.
Os sites intermediários, de marketing
digital, pagam por este volume de cliques, o que fomenta a criatividade dos Hackers
em criarem mecanismos para alavancar a quantidade de cliques.
Nada melhor do que a maior rede de
relacionamentos do mundo para ajudá-los nesta empreitada, não é verdade? Mesmo
que seja sem o consentimento dos usuários, mas certamente este tipo de ação
gera grandes benefícios financeiros.