Especialista em segurança da Kaspersky Lab descobre ataque de malware que afetou cerca de 10 mil usuários do Facebook do mundo inteiro. Os dispositivos foram infectados depois de receberem mensagem dizendo que um amigo os havia mencionado em um comentário da rede. O objetivo era roubar contas do Facebook e depois espalhar a infecção por meio dos amigos da vítima e possibilitar outras atividades maliciosas. Países na América do Sul, Europa, Tunísia e Israel foram os mais atingidos. O Brasil foi o país com o maior número de infectados.
Entre 24 e 27 de junho, milhares de pessoas desavisadas receberam mensagens de amigos do Facebook, dizendo que tinham sido mencionados em um comentário. Na verdade, a mensagem era enviada por invasores e desencadeava um ataque em duas fases. Na primeira, era baixado no computador do usuário um trojan que instalava, entre outras coisas, uma extensão maliciosa do navegador Chrome. Com isso a segunda fase era ativada; ao acessar a rede social usando o navegador comprometido, o controle da conta era tomado.
Nos ataques bem-sucedidos, o agente da ameaça conseguia alterar configurações de privacidade, extrair dados e muito mais, possibilitando a disseminação da infecção por meio dos amigos da vítima no Facebook ou a realização de outras atividades maliciosas, como envio de spam, roubo de identidades e produção de ‘curtidas’ e ‘compartilhamentos’ fraudulentos. O malware tentava se proteger colocando determinados sites, como os de fornecedores de software de segurança, em listas negras de acesso.
A Kaspersky Security Network registrou pouco menos de 10 mil tentativas de infecção em todo o mundo. Os países mais afetados foram Brasil, Polônia, Peru, Colômbia, México, Equador, Grécia, Portugal, Tunísia, Venezuela, Alemanha e Israel.
As pessoas que acessavam o Facebook em computadores Windows eram as que corriam mais risco e, possivelmente, os usuários de celulares com o mesmo software também. Já os que possuem dispositivos móveis Android e iOS estavam imunes, pois o malware utilizou bibliotecas incompatíveis com esses sistemas operacionais.
O mecanismo de download do cavalo de Troia usado pelos invasores não é novo. Ele foi revelado mais ou menos um ano atrás, em um processo de infecção semelhante. Nos dois casos, o malware apresenta sinais que parecem indicar agentes de idioma turco.
O Facebook conseguiu atenuar a ameaça, bloqueando as técnicas de propagação do malware pelos computadores infectados. Eles informam não ter observado outras tentativas de infecção. O Google também removeu pelo menos uma das extensões criminosas da Chrome Web Store.
“Devemos destacar dois aspectos desse ataque. Em primeiro lugar, a distribuição do malware foi extremamente eficiente, atingindo milhares de usuários em apenas 48 horas. Além disso, a resposta dos consumidores e da mídia foi quase tão rápida quanto o ataque. Essa reação aumentou a visibilidade da campanha e motivou medidas e investigação imediatas pelos provedores envolvidos”, observou Ido Naor, pesquisador sênior em segurança da Equipe de Pesquisa e Análise Global da Kaspersky Lab.
Se você acha que foi infectado, execute uma verificação de malware no computador ou abra o navegador Chrome e procure por extensões instaladas que sejam desconhecidas. Caso as encontre, saia de sua conta do Facebook, feche o navegador e desconecte o cabo de rede do computador. Solicite que um profissional verifique e elimine o malware.
