Brasil é um dos países mais afetados por malware propagado via Facebook

Quanto o Google Chrome e o Facebook são eficazes para que os cibercriminosos continuem a usá-los para infectar suas vítimas com malware?

Já vimos as duas plataformas serem usadas como partes de golpes de engenharia social, maliciosos. Tanto o Google como o Facebook estão cientes disso e tomaram medidas para proteger seus usuários. O número de vezes que extensões do Chrome maliciosas surgiram, por exemplo, levou o Google a restringir o uso de qualquer extensão que não fosse disponibilizada na loja Chrome Web Store.

Infelizmente, iniciativas como essa não detiveram os esforços dos cibercriminosos. Nossas descobertas também mostram que muito usuários dessas plataformas ainda são enganados.

Ainda recentemente, eu recebi uma mensagem de um amigo no Facebook que aguçou minha curiosidade. A mensagem era curta e direta:

Figura 1. Mensagem no Facebook
Figura 1. Mensagem no Facebook

Ao clicar no link, fomos levados a um site com uma página feita para imitar a aparência e o jeito do Facebook. A página até finge ter comentários do YouTube. Ao visitar o site malicioso, ele levou ao download automático de um arquivo chamado Chrome_Video_installer.scr.  O nome de arquivo usado parece de um plugin inofensivo do navegador Chrome, necessário para reproduzir vídeos.

Figura 2. Página maliciosa com o design do Facebook
Figura 2. Página maliciosa com o design do Facebook

Esse suposto arquivo instalador de vídeo foi detectado como TROJ_KILIM.EFLD. Essa variante tenta baixar outro arquivo – possivelmente a carga final – mas o site está atualmente fora do ar. Porém, deve-se notar que os malware KILIM são conhecidos como sendo extensões e plugins maliciosos do Chrome. As variantes KILIM também foram observadas em mensagens de spam no Facebook, provocando infecções no sistema.

Vítimas destacadas

Usando feedback que coletamos da Smart Protection Network™, decidimos ver quais países foram os mais afetados por esse ataque em particular.

Verificamos a página inicial e descobrimos as Filipinas tiveram o maior números de usuários visitando o site, seguida pelos da Indonésia, Índia, Brasil e Estados Unidos. O que é impressionante é que são os mesmos países onde a penetração do Facebook, em termos de porcentagem, é maior.

Tabela 1. Países com a maioria de visitas ao site malicioso
Tabela 1. Países com a maioria de visitas ao site malicioso

O Facebook ainda continua sendo o maior site de rede social do mundo. Os dados da página de informações de sua empresa revelam que o Facebook tinha 1,44 bilhões de usuários ativos por mês e 1,25 bilhões de usuários em dispositivos móveis em março de 2015. Uma porcentagem considerável (cerca de 83%) dos usuários que estão ativos diariamente no site são de fora do Canadá e dos Estados Unidos. Essa popularidade obviamente não vem sem armadilhas.

Os elementos convincentes

Nesse ataque, os usuários podem ter sido levados a clicar no link por três motivos: Primeiro, a mensagem vem de um amigo no Facebook, não de um estranho. A mensagem também trata o usuário com o nome que ele usa no Facebook. Isso faz com que a mensagem pareça menos uma mensagem de spam, aleatória. A informalidade da mensagem pode convencer o usuário a ler a mensagem.

O uso de um link encurtado também ajuda a disfarçar a isca. Em comparação com um link encurtado de aparência mais inocente, uma URL parecendo suspeita pode levar o usuário a repensar duas vezes antes de clicar.

O nome do arquivo de malware também pode tranquilizar a vítima. Extensões e plugins do Chrome são parte do ecossistema do navegador Chrome. Entretanto, uma simples busca online pode informar o usuário de que a extensão de arquivo .SCR é geralmente usada por protetores de tela – não sendo necessariamente algo que eles imediatamente pensariam como sendo malicioso.

Enfrentando as ameaças do Facebook

Devido à popularidade do Facebook, os membros do site devem ser criteriosos ao lidar com o conteúdo que encontram. Nunca clique em links desconhecidos ou de sites não verificados, especialmente se o conteúdo parecer interessante demais para ser verdade. Os cibercriminosos geralmente usam conteúdos chocantes ou atraentes para convencer os usuários a visitar os sites maliciosos. É bem melhor clicar em links que levam a sites de fontes de boa reputação do que clicar em algum site ou blog aleatório. O Trend Micro Site Safety Center também pode ser usado para verificar se os sites são seguros ou não.

O mesmo pode ser dito para links e anexos enviados por amigos. Vale a pena confirmar primeiro a mensagem antes de clicar no link ou abrir o anexo.

A segurança no Facebook não começa e termina com as medidas de segurança do website. Outras precauções, como escanear emails e instalar uma solução de segurança podem impedir que malware infectem seus computadores e acessem suas contas do Facebook.

Nós informamos esse incidente ao Facebook. Após essa publicação, o Facebook marcou a mensagem como spam.

Com insights adicionais de Jed Valderama.

Hashes para arquivo relacionado:

  • ed263d766342df6cb87c4405441f2f547557ffd2

Escrito originalmente por Christopher Talampas em Trend Labs.