Facebook, Google e Yahoo! utilizados em nova onda de ataques de Malware e DNS

Apesar do uso de anúncios patrocinados apontando para sites que hospedam Malware e a utilização de scripts para a alteração das configurações de DNS em SOHO routers não serem golpes totalmente novos para os cibercriminosos brasileiros, eles estão descobrindo que ao utilizar-se destas e de outras técnicas em conjunto numa única "campanha" podem potencializar o sucesso de suas investidas.

Assim, a equipe de Threat Intelligence da Tempest Security conseguiu identificar que cibercriminosos, aproveitando-se da credibilidade de grandes sites como o Facebook, Yahoo! e Google, estão atacando potenciais vítimas desatentas.

Para isso, estão criando anúncios maliciosos no Facebook que direcionam os visitantes para sites falsos do Yahoo! Notícias, oferecendo em seguida artefatos maliciosos hospedados no Google (alguns de baixíssima detecção) para Download. Além disso, de modo a potencializar suas chances de sucesso, o site falso também executa um script malicioso na máquina do visitante na tentativa de alterar as configurações de DNS de seu modem DSL, e assim, redirecioná-lo para outros sites falsos no futuro (ataques de Drive-by Pharmimg).

Como funciona o golpe?

Tudo começa com um anúncio patrocinado publicado no Facebook. O anúncio em questão induz a vítima a acessar uma notícia "bombástica", geralmente relacionada a algum cantor ou artista que faz na sucesso na mídia:

Ao clicar no link patrocinado em um desses anúncios maliciosos, a vítima é levada para um site falso com a mesma aparência do Portal Yahoo! Notícias - Brasil (que na verdade possui sua página legítima hospedada em: https://br.noticias.yahoo.com ):

Em ambos os sites, caso a vítima clique no ícone "Play" na tentativa de assistir o vídeo presente na chamada da notícia principal, será oferecido para download um arquivo de Malware hospedado no site "googleapis.com" do Google:

  • hXXp://storage.googleapis.com/??????????/Video_intimo_Mulher_Melancia.12.11.2014.091639.exe
  • hXXp://storage.googleapis.com/??????????/Gustavo_Lima_Pego_com_fan_no_carro.12.11.2014.091639.exe

No caso do arquivo oferecido pelo primeiro site (Video_intimo_Mulher_Melancia.12.11.2014.091639.exe) pode-se constatar que ele ainda possuia baixíssima detecção pelos principais programas antivírus do mercado (classificado como 4/52 no site Virustotal):

Abaixo, outras URLs identificadas utilizando-se da mesma técnica:

  • hXXp://storage.googleapis.com/??????????/Silvio_Santos_Louco_pela_Periquita.exe
  • hXXp://storage.googleapis.com/??????????/Video_Leonardo_morre_07.11.14.9283.11.exe
  • hXXp://storage.googleapis.com/??????????/Chrome_install_14.9283.10.exe

Ataque contra as configurações de DNS dos SOHO routers

A armadilha não pára "apenas" com a distribuição de Malware: mesmo que a vítima não faça o download e execute o malware, a página maliciosa tenta realizar alterações nas configurações do DNS primário/secundário no Modem DSL dos visitantes.

Isso pode ser observado no código fonte dos sites pelo existência do seguinte iframe:

iframe name="oauth2relay461807055" id="oauth2relay461807055" src="ads.html"
tabindex="-1" style="width: 50px; height: 50px; position: absolute; top: -100px;"

Tal iframe faz com que a página ads.html seja carregada no navegador das vítimas. Assim, as seguintes URLs eram acessadas silenciosamente:

  • hXXp://m??????????s.info/ads.html
  • hXXp://r?????z.org/ads.html

Observando o código presente nas páginas ads.html, pode-se observar cerca de 35 tentativas de ataque, onde o golpista tentava alterar as configurações de DNS do modem para os IPs 208.109.XXX.XXX (primário) e 66.85.XXX.XXX (secundário):

Como se proteger?

Apesar da seriedade de empresas como Facebook e do cuidado na aprovação de seus anunciantes, sempre existe a possibilidade que anúncios maliciosos burlem seus sistemas de aprovação e venham a ser veiculados em sua rede social.

Deste modo, recomenda-se extrema cautela ao acessar os links existentes nos anúncios. Sempre desconfie de promoções de produtos com preços extremamente abaixo dos praticados no mercado ou de notícias muito fantasiosas, pois estas são as preferidas dos golpistas.

Desconfie também de URLs que nitidamente não estão associadas ao site que deveria estar sendo acessado (como o do Portal de notícias do Yahoo!, descrito neste caso). E por fim, nunca faça o download de arquivos de qualquer natureza oferecidos por sites desconhecidos.

A Tempest Security Intelligence a partir do seu serviço de Threat Intelligence, aliado à sua vasta experiência no combate a fraudes digitais e cibercrime, pode ajudar seus clientes na identificação desta e de diversas outras ameaças.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.