A Kaspersky Lab descobriu um ataque de malware que enganou cerca de 10 mil utilizadores do Facebook em todo o mundo, infectando os seus dispositivos após a recepção de uma mensagem de um amigo pedindo que o marcasse no Facebook. Os dispositivos comprometidos foram então usados para sequestrar as contas desta rede social, com o objectivo de propagar a infecção através dos amigos da vítima e de permitir outras actividades maliciosas. Portugal, Brasil, Polónia, Perú, Colômbia, México, Equador, Grécia, Tunísia, Venezuela, Alemanha e Israel foram os países mais afectados.
Entre os dias 24 e 27 de junho, milhares de utilizadores receberam uma mensagem de um amigo no Facebook, pedindo-lhes que o mencionassem num comentário. A cadeia foi iniciada por cibercriminosos e consistiu num ataque de duas etapas. A primeira etapa descarregava e instalava um Trojan no computador do utilizador e uma extensão maliciosa do Chrome, entre outras coisas. Isto permitiu que, na segunda etapa, o controlo da conta do Facebook da vítima fosse tomado pelos hackers ao voltar a iniciar sessão através do browser comprometido.
Um ataque bem-sucedido permitia alterar a configuração de privacidade, extrair dados e muito mais, o que fez com que a infecção se propagasse através da rede de amigos do Facebook da vítima, e que os seus autores levassem a cabo outras actividades maliciosas, como spam, roubo de identidade e a geração fraudulenta de ‘gostos’ ou partilhas. O malware tratou de se proteger a si mesmo do acesso às listas negras de centenas de websites, como os dos fabricantes de software de segurança.
As pessoas que utilizam equipamentos baseados em Windows para aceder ao Facebook foram as mais atacadas. Os utilizadores com dispositivos móveis Android e iOS estavam imunes, já que o malware utiliza bibliotecas que não são compatíveis com estes sistemas operativos móveis.
O Trojan utilizado pelos atacantes não é novo. Há já um ano que surgiram notícias sobre ele, quando recorreu a um processo de infecção similar. Em ambos os casos, os indícios da linguagem do malware parecem apontar para criminosos de idioma turco.
O Facebook já mitigou esta ameaça e bloqueou as técnicas usadas para propagar malware a partir de equipamentos afectados. A Google também já eliminou pelo menos uma das extensões más do da Chrome Web Store.
“Dois aspectos a destacar deste ataque: em primeiro lugar, a distribuição do malware era extremamente eficiente, chegando a milhares de utilizadores em apenas 48 horas. Em segundo lugar, a resposta dos utilizadores e meios de comunicação foi muito rápida. Esta reacção aumentou a consciencialização sobre a campanha e fez com que os analistas o descobrissem rapidamente”, afirma Ido Naor, analista principal da Kaspersky Lab.
Os utilizadores que pensem poder estar infectados devem fazer uma verificação de malware ao seu computador ou abrir o Chrome e procurar extensões suspeitas. Se existirem, devem terminar a sessão da conta do Facebook, fechar o browser e desligar a rede do computador. Devem ter uma solução de segurança que analise o equipamento e verifique, limpe e elimine o malware.
Além disso, a Kaspersky Lab recomenda a todos os utilizadores que sigam as seguintes medidas de segurança:
Instalar uma solução antimalware em todos os dispositivos e manter o software do sistema operativo actualizado.
Evitar clicar em links de mensagens de desconhecidos ou mensagens inesperadas de amigos.
Ter sempre cuidado quando está online e em redes sociais: se algo parecer um pouco suspeito, provavelmente representa perigo.
Implementar a configuração de privacidade adequada em redes sociais como o Facebook.
Os produtos da Kaspersky Lab detectam e bloqueiam a ameaça.