Um malware
distribuído via Facebook infectou mais de 10 mil usuários em apenas 48
horas, informou a Kaspersky Lab, que verificou a ação entre os dias 24 e
27 de junho. Os mais afetados pelo ataque foram os brasileiros, que correspondem
à fatia de 37% do total de casos. Polônia (8%), Peru (7%), Colômbia (7%) e
México (7%) foram os países que também registraram mais ocorrências.
Ainda segundo a empresa, o vírus foi
disseminado através de notificações – aquelas exibidas por alertas de marcação
em fotos ou em publicações cotidianas, como comentários ou atualização de
status.
O phishing funcionava a partir de duas fases:
na primeira, um trojan era baixado pelo PC, o que resultava na instalação de
uma extensão maliciosa no Chrome. A partir disso, a segunda fase do ataque era
então executada; ao acessar a rede social usando o browser comprometido, o
controle da conta era tomado.
Como o ataque foi executado
Na prática, o
vírus agiu desta forma: no momento em que o usuário clicava sobre a
notificação, o arquivo malicioso passava a encerrar a sessão atual. Em seguida,
uma nova página que exigia um novo login para acesso ao Facebook era aberta:
quando nome de usuário e senha eram informados, o malware baixado em segundo
plano era ativado, roubando e alterando as preferências de privacidade da vítima.
A extração
indevida de scripts e de dados de conta pode ser usada para várias atividades
ilegais, tais como roubo de identidade, envio de spams e fraudes bancárias, por
exemplo. A distribuição do malware acontecia no momento em que o programa
malicioso era baixado, quando a notificação falsa de marcação era enviada aos
demais contatos do usuário infectado.
Verifique seu Google Chrome
- Abra
o navegador, clique sobre o ícone de sanduíche e acesse a opção
“Configurações”;
- Em
“Extensões”, procure pelo arquivo “thnudoaitawxjvuGB”,
sem aspas.
Pasta "sequestrada"
Conforme bem observado por Alan
S., um dos nossos leitores, o vírus é capaz de fazer com que arquivos do
sistema assumam o nome "Mozilla". Execute o processo descrito abaixo
para verificar se as pastas do seu computador foram "sequestradas"
pelo malware:
- Abra o Menu Iniciar e execute o
comando iniciar (ou aperte Win+R);
- Em seguida, abra o diretório
%AppData%\Mozila e procure pelos arquivos e pastas “ekl.au3”
e “autoit.exe”.
Se os arquivos mencionados acima
forem encontrados, é provável que sua conta tenha sido atacada.
"Google já removeu
extensão infectada da Web Store; Facebook bloqueou
método de distribuição do
malware"
Medidas de segurança
Ao
menos uma das extensões usadas durante os ataques foi removida pela Google da
Web Store. Segundo o Facebook, o método usado para a distribuição do vírus (via
notificações) já foi também encerrado. Para combater a prática de
cibercriminosos, execute as recomendações de segurança sugeridas pela Kaspersky
Lab:
Instale
uma solução antimalware em todos os dispositivos e mantenha o software do
sistema operacional atualizado (veja algumas opções nesta página);
Evite
clicar em links contidos em mensagens de pessoas que você não conhece ou em
mensagens de amigos que você não estava esperando;
Sempre
tenha cuidado quando estiver on-line e nas redes sociais;
Implemente
as configurações de privacidade adequadas nas redes sociais, como o Facebook.
Informações tecmundo
