O AV Protection 2011 e Outras Variantes do FakeScanti Modificam Arquivos HOSTS para Redirecionar para Outros Falsos Anti-Vírus
A família FakeScanti continua evoluindo. Graças ao kit de exploração do BlackHole, os hackers podem explorar falhas em softwares legítimos e espalhar qualquer malware que desejarem com facilidade. Uma exploração executada por variantes do FakeScanti, como o AV Protection 2011, é a capacidade de modificar o arquivo HOSTS de um sistema infectado.
Nossa equipe de pesquisa técnica levou um aviso especial para a família FakeScanti devido ao recebimento de atualizações contínuas de exploração. Essas novas atualizações do FakeScanti permitiram descobrir várias falhas em softwares populares, que podem abrir novos campos de alvos viáveis para ataques de malware orquestrados.
O próprio Trojan FakeScanti já foi classificado como associado a vários programas antivírus falsos, como System Fix, Security Sphere 2012 e muitos outros. Todos esses falsos programas anti-vírus incorporam praticamente o mesmo tipo de interface gráfica e falha na capacidade de detectar ou remover vírus de computador legítimos e outros malwares.
O Que o FakeScanti faz Agora?
Uma das descobertas mais interessantes de como o FakeScanti e seu malware associado está agindo agora é sua nova capacidade de modificar o arquivo HOSTS de um sistema infectado. O arquivo HOSTS de um PC permite que um sistema conecte nomes de hosts a endereços IP. Assim, quando o usuário tenta visitar um site adicionado ao arquivo HOSTS, como Google ou Facebook, ele é redirecionado para outro site não relacionado. No caso da recente evolução do FakeScanti, o site para o qual os usuários são redirecionados está sediado na Alemanha e oferece outras variantes da mesma família de falsos programas anti-vírus.
A imagem abaixo (Figura 1.) representa um dos sites baseados na Alemanha em que um sistema infectado com uma variante AV falsa do FakeScanti é suscetível de ser carregada devido a uma edição do arquivo HOSTS. Observe como o site solicita que o usuário 'ative o AV Secure 2012', o que provavelmente pede que você compre uma variação do programa antivírus nocivo AV Security 2012 que detectamos no início de novembro de 2011.
Figura 1. O redirecionamento de um site ativo através de um arquivo HOSTS editado por uma variante de um falso programa anti-vírus do Trojan FakeScanti
Por Que os Hackers Editam os Arquivos HOSTS?
Não vemos nada de novo ao sol quando se trata do seqüestro de um arquivo HOSTS. Essa tem sido uma técnica de longa duração entre hackers mal-intencionados que remontam a vários anos. O que há de novo é o fato de que programas antivírus nocivos agora são propícios a exibir esse mesmo comportamento. Agora, podemos dizer com certeza que novas famílias de programas antivírus não autorizados contêm a capacidade de editar arquivos HOSTS, o que pode levar a uma destruição maior por meio do download de malware adicional.
No passado, editar um arquivo HOSTS por malware era uma maneira fácil de levar os usuários de computador a sites de phishing quando tentavam visitar uma página legítima. O golpe do FakeScanti parece ser iniciado por meio de links maliciosos geralmente incluídos em um email de spam, um link malicioso publicado em um grande site social como o Facebook ou envenenamento por termos de pesquisa usando técnicas inteligentes de SEO (Search Engine Optimization).
O que você pode fazer para se proteger é ter cuidado ao abrir emails suspeitos ou clicar em links inicialmente irreconhecíveis. Também é essencial que você utilize um programa antivírus ou anti-spyware atualizado no caso de baixar acidentalmente malware.