Seu Curso

  • Full Screen
  • Wide Screen
  • Narrow Screen
  • Increase font size
  • Default font size
  • Decrease font size

Malware Facebook - Alterar Status do Face

Imprimir
Avaliação do Usuário: / 8
PiorMelhor 

Não é fácil manter-se protegido na internet, alguns anos atrás o método mais ágil de proliferação de malwares, era através sos e-mails, onde anexos com códigos maliciosos eram executados pela vitima infectando ela e repassado a todos os seus contatos. Algum tempo depois, com a popularização dos pendrives, era praticamente impossível utilizá-lo em computadores públicos e ao chegar em casa e o antivírus não alertar sobre um arquivo malicioso, o pior era quando ele não alertava, por estar desatualizado, ou ser uma nova variante de malware.

Hoje na era das redes sociais, porque não combiná-la com a facilidade de se hospedar arquivos maliciosos na web para potencializar a disseminação de vírus? É isto que muito pessoal underground pensa, e o claro faz.

Olhando o Facebook  noto um post bem atraente "Gente Agora o Face deixa alterar o status olha ai", na época dos e-mail, eram as fotos de alguma festa que você sequer se lembra, hoje o que utilizam para chamar a atenção da vítima e fazer ela baixar algum arquivo, geralmente anunciam um novo recurso da rede social, seja para troca-lá de cor, visualisar quem acessou seu perfil ou neste caso específico, poder alterar o status Facebook.

Já dentro da página que prometia uma novidade, tem uma instrução bem interessante de como proceder na instalação do tal aplicativo:
1º) Clique em Install Aplicativo. 
2º) Clique em Permitir ou Continuar.
3º) Clique em Instalar ou Instalar Agora.
Após fazer os passos acima, vá até seu perfil e aperte CTRL + W.

Endereço da Página no Facebook: https://www.facebook.com/pages/Alterar-Status-do-Face/235004053255984?sk=app_190322544333196 - NÂO ENTRE SE NÂO SOUBER O QUE ESTÁ FAZENDO

Qualquer pessoa que goste de atalhos de teclado sabe que o atalho Ctrl+W  fecha a aba que está aberta. Isto já foi o suficiente para chamar ainda mais a atenção. Ao clicar para fazer o download do tal aplicativo, o Google Chrome, já se oferece para o instalar de forma automática. Logicamente, não é isto que eu quero, tenho o intesse de baixar o tal aplicativo para estudar. Então abro o Mozilla Firefox, e ao realizar o download ele baixa um arquivo .CRX, mas calma ai, CRX é aplicativos para o Google Chrome, e a coisa chata, estes arquivos são binários, não são como o do Firefox, que são os XPI e você pode baixar e abrir como se fosse um arquivo compactado e o código do arquivo estariam legíveis.

Resolvi então, dar uma olhada no servidor que hospedava o tal arquivo. Era um subdomínio do freehosting.com, ou seja, o usuário entra, cria uma conta, e hospeda arquivos maliciosos para as pessoas baixarem. Na verdade o link direto para download é: 
http://renandoidao323.freehosting.com/descubra.crx - AQUI VALE O MESMO AVISO

Caso o arquivo seja tirado do servidor, coloquei ele no meu DropBox caso queira testar, ele está compactado e com senha para evitar que alguém o execute sem querer, a senha é 'infected':
http://migre.me/8lpxX

Realizei um teste no VirusTotal, e apenas 2 dos 43 antivírus detectaram o tal aplicativo. Já sabia que era um vírus, Missão cumprida? não, ainda deve ter algo para xeretar.

Acessando a index do subdomínio, surpresa, o sujeito mantinha uma página fake do Facebook. Verificando o código fonte da página fake há um trecho bem interessante.

É possíssel notar que é enviado um e-mail para o contato acima. Analizando outro trecho entende-se que o que é enviado é o Login e a Senha que a vítima digita.

Tendo não mão um e-mail na mão, vamos ao Google ver o que achamos, mesmo se o sujeito utiliza um e-mail fake, o que tem de mal em pesquisar? Há algumas páginas que tem o tal e-mail, muitas delas para links de diversas páginas no Facebook, em alguma delas é possível ver que há um Rennãn como proprietário.
Perfil do tal Rennãn Queiroz do Facebook: https://www.facebook.com/profile.php?id=100002373857792

Você tem duvída que o tal Rennãn do perfil é o mesmo renan_icehot do e-mail?

Finalizando, não consegui entender o que o tal malware faz além, de SPAM, porém por hospedar ele em um servidor que também é utilizado como uma página fake, e ainda realizar a grande proeza de se utilizar um email pessoal para receber os logins, foi fácil localizar o sujeito.



Mostrar outros artigos deste autor

Adicionar comentário


Código de segurança
Atualizar

You are here: