Por Redação O Sul | 7 de julho de 2016
Um malware distribuído via Facebook infectou mais de 10 mil pessoas em apenas 48 horas, informou a Kaspersky Lab. Os mais afetados pelo ataque foram os brasileiros, que correspondem a 37% dos casos. Polônia (8%), Peru (7%), Colômbia (7%) e México (7%) foram outros países que também registraram maiores ocorrências.
Ainda segundo a empresa, o vírus foi disseminado através de notificações – alertas de marcação em fotos ou em publicações cotidianas, como comentários ou atualização de status.
O phishing funcionava a partir de duas fases: na primeira, um trojan era baixado pelo PC, o que resultava na instalação de uma extensão maliciosa no Chrome. A partir disso, a segunda fase do ataque era então executada: ao acessar a rede social usando o navegador comprometido, o controle da conta era tomado.
Como o ataque foi executado.
Na prática, o vírus agiu desta forma: no momento em que o usuário clicava sobre a notificação, o arquivo malicioso passava a encerrar a sessão atual. Em seguida, uma nova página que exigia um novo login para acesso ao Facebook era aberta: quando nome de usuário e senha eram informados, o malware baixado em segundo plano era ativado, roubando e alterando as preferências de privacidade da vítima.
A extração indevida de scripts e de dados de conta pode ser usada para várias atividades ilegais, tais como roubo de identidade, envio de spams e fraudes bancárias, por exemplo. A distribuição do malware acontecia no momento em que o programa malicioso era baixado, quando a notificação falsa de marcação era enviada aos demais contatos do usuário infectado.
Ao menos uma das extensões usadas durante os ataques foi removida pelo Google da Web Store. Segundo o Facebook, o método usado para a distribuição do vírus (via notificações) já foi também encerrado.
iOS e Android seguros.
Os ataques foram feitos principalmente via Google Chrome e Mozilla Firefox. Enquanto o iOS e Android são seguros e não puderam, assim, ser infectados pelo novo vírus, o Windows 10 Mobile também correu o risco de ser comprometido.
Para verificar se seu Google Chrome foi infectado, abra o navegador, clique sobre o ícone de sanduíche e acesse a opção “Configurações”. Em “Extensões”, procure pelo arquivo “thnudoaitawxjvuGB”, sem aspas.
O vírus é capaz ainda de fazer com que arquivos do sistema assumam o nome “Mozila”. Para verificar se as pastas do seu computador foram “sequestradas” pelo malware abra o “Menu Iniciar” e execute o comando “Iniciar” (ou aperte Win+R). Em seguida, abra o diretório “%AppData%\Mozila” e procure pelos arquivos e pastas “ekl.au3” e “autoit.exe”. Se os arquivos mencionados forem encontrados, é provável que sua conta tenha sido atacada.
