Camisa da seleção brasileira de futebol é utilizada em campanha maliciosa

Golpe utiliza a infraestrutura de cibercriminosos do Leste Europeu para disseminar aplicativo falso em que o criminoso ganha por cada instalação; usuários são direcionados para página hospedada na Rússia, para dar veracidade ao esquema, já que torneio será realizado nesse país

Compartilhar:

Com a proximidade do campeonato mundial de futebol, que se inicia no próximo dia 14 de junho, os cibercriminosos brasileiros não perdem a oportunidade de disseminar golpes usando o tema do evento e, assim, atingir o maior número de vítimas possível. O alvo continua sendo usuários do WhatsApp, mas desta vez, a campanha maliciosa promete como brinde uma camisa oficial da Seleção Brasileira de Futebol, caso a mensagem seja compartilhada com até 30 amigos.

 

A mensagem chega até a vítima de 3 formas: encaminhada por um amigo (que acreditou no golpe), por notificações maliciosas configuradas no navegador (seja desktop ou mobile) ou por grupos em que os usuários participam.

 

 

Ao clicar no link, o usuário é direcionado para essa página, hospedada na Rússia, coincidentemente o país a receber o próximo mundial:

 

 

A falsa promoção já é ativada quando o usuário compartilha com três contatos, não sendo necessário compartilhar com 30 contatos. O que acontece na sequência depende do sistema operacional que o usuário possui no seu smartphone: se o sistema for iOS, após vários redirecionamentos, será oferecido a instalação de aplicativos legítimos, mas que participam de esquemas “pay-per-install”, em que o criminoso ganha por cada instalação, inflando programas legítimos de apps e, assim ganhando dinheiro de maneira forçada. Já se o usuário possui o sistema Android – usado em 80% dos smartphones brasileiros – será oferecida a instalação de um aplicativo malicioso.

 

Para convencer o usuário, é exibida uma página falsa informando que o dispositivo está infectado e que é necessário baixar e instalar um app:

 

 

O aplicativo malicioso oferecido na campanha utiliza nomes randômicos, ou seja, a cada download terá um nome diferente. O usuário, ao instalá-lo, estará infectando seu smartphone Android com o Adware:AndroidOS.Dnotua, que irá utilizar o dispositivo de forma maliciosa, exibindo propagandas de forma agressiva, entre outras ações danosas.

 

 

Ligações com o Leste Europeu

 

O mais interessante dessa campanha maliciosa é sua clara ligação com o cibercrime do Leste Europeu, conhecido por desenvolver ataques avançados e vender suas ferramentas de ataques e alugar sua infraestrutura para grupos de cibercriminosos de outras partes do mundo. Nesse caso o ataque está utilizando domínios registrados e hospedados na Rússia, como o ru-promos.site, que também já hospedou diversas campanhas maliciosas escritas em russo.

 

“A cooperação entre o cibercrime brasileiro e o do Leste Europeu não é nova, já acontece há alguns anos. Os brasileiros são clientes deles e, por lá, eles compram ferramentas de ataques e usam a infraestrutura para disseminar os ataques. As mensagens maliciosas dessa campanha se utilizam de domínios brasileiros e russos, escritas em português nativo, porém utilizando servidores de controle hospedados na Rússia”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil.

 

Conteúdos Relacionados

Security Report | Overview

Espionagem digital iraniana mira governos e empresas Latinas, alerta relatório

Estudo da WatchGuard mostra que grupo MuddyWater foca no roubo de propriedade intelectual e dados de navegadores mesmo durante tréguas...
Security Report | Overview

Golpe que engana funcionários sem vírus se multiplica 37 vezes em dois anos

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

Gartner: US$ 234 bilhões gastos com aplicações corporativas correm risco com IA Agêntica

Arbitragem agêntica rompe o modelo tradicional de licenciamento SaaS baseado em usuários
Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...