Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Español Português
Computer Security O Koobface Sequestra e Redireciona os Res

O Koobface Sequestra e Redireciona os Res

Por GoldSparrow em Computer Security
Traduzir Para:
Português

Quando os hackers não estão ocupados pensando sobre novas formas de convencer os usuários a comprar softwares de segurança nocivos, eles estão ocupados cometendo a fraude de click, para ganhar dinheiro extra. Com a exibição do vídeo abaixo, você vai perceber como, quando o usuário clica em um resultado em particular, que aponta para um determinado link, um Worm ou Trojan (com capacidades de rootkit) faz com que os resultados de pesquisa do Google, sejam redirecionados para sites aleatórios, cheios de anúncios. O clique fraude é uma tática da qual os hackers de aproveitam, simplesmente porque eles podem entrar em diversos programas de publicidade afiliados e serem pagos para encaminhar tráfego para um site.

Após uma análise mais aprofundada, descobriu-se que os arquivos maliciosos encontrados na máquina infectada, pertenciam a uma variante do Worm.Koobface, que é um worm notóriamente conhecido por se espalhar no Facebook, no Twitter e no MySpace. Os arquivos do Koobface são os seguintes:

  • C:\Windows\sYSteM32\SvchOst.eXE -kfioo32
  • C:\Windows\system32\drivers\fio32.sys
  • C:\windows\system32\fio32.dll

Esse vídeo foi tirado do computador de um usuário que nos procurou porque ele tinha a infecção pelo Koobface e não conseguia remove-la.

O Koobface usa as redes sociais como uma plataforma para ganhar a confiança de um usuário, através da criação de falsas mensagens que incluem um link malicioso, as quais ele envia para os contatos (lista de amigos) dos usuários infectados. O link malicioso redireciona o amigo do usuário, sem que ele suspeite, para um site (que parece ser o da rede social) que instala o malware, quando o amigo tenta reproduzir um vídeo. O malware ligado ao Koobface foi projetado para dirigir os usuários a sites que são usados para hospedar anúncios, cujo objetivo é a fraude do clique e infectar os usuários enviando-os para sites que avisam sobre uma ameaça de spyware encontrada no computador e sugerem um programa anti-spyware para ser baixado, o qual, na verdade, é um anti-spyware nocivo. O esquema é tão convincente, que o usuário não sabe que os resultados de pesquisa do Google foram seqüestrados, que o site que ele clicou não é o que ele tinha a intenção de visitar e que está prestes a baixar um fraudware.

Os seqüestradores de pesquisa tem sido muito populares nos últimos tempos, mas remontam aos primórdios da publicidade na Internet. O que é interessante e assustador é a maneira sutil com a qual o Trojan altera os resultados do Google e apresenta os seus próprios resultados, disfarçados como resultados orgânicos do Google, tornando-os indistinguíveis da coisa real. Esse método de seqüestro confunde facilmente os usuários de computador, fazendo-os acreditar que os resultados são diretamente provenientes de Google.com. Uma vez que um usuário clica em um link dos resultados de pesquisa seqüestrados, ele será redirecionado a vários sites, não aquele para o qual o deveria ser dirigido. Laura Mather, presidente do Comitê de Política do Grupo de Trabalho Antiphishing da Internet, foi citada como tendo dito sobre o artigo de Leitura Negra "Os consumidores não sabem como olhar para os URLs para saber para onde vão ..."

Infelizmente, a maioria dos usuários de computador não estão nem ao menos cientes de que o seu computador está infectado por uma ameaça de malware, como um trojan, worm ou botnet, até que eles já estejam profundamente entranhados no sistema. Assim, mesmo que um usuário de computador possa parecer estar operando normalmente, a infecção pode estar realizando uma série de atividades maliciosas.

Uma ameaça de malware pode tirar proveito de falhas na segurança do navegador de IE e fazer alterações nas entradas do arquivo HOSTS, assim, quando o usuário digitar um site, ele será redirecionado para o endereço de IP de um site de esquema ou de pesquisa patrocinada. O que é pior, os usuários podem estar olhando para um local familiar, como por exemplo o nytimes.com (o site do New York Times), e uma janela popup de anúncio pode ser lançada, com a intenção de se parecer com uma notificação do Windows, dizendo que um spyware foi detectado no computador. A falsa notificação do Windows é usada para induzir os usuários a baixar, instalar e eventualmente comprar um programa anti-spyware nocivo, para remover o spyware inventado.

Carregando...