Salve e Compartilhe2009 Press Releases
Trend Micro alerta sobre ameaças vindas sob o disfarce do Vôo 447 e Pandemia H1N1
São Paulo, 29 de junho de 2009 - Dois ataques recentes de crimes digitais se inspiraram em notícias de interesse mundial. Não é novidade que os criminosos usam as notícias de maior repercussão, como as relacionadas com o desastre do vôo 447 da Air France e o anúncio da pandemia do H1N1 pela Organização Mundial De Saúde (OMS). Entretanto, conforme esse tipo de ataque aumenta, os usuários da Internet ficam mais vulneráveis e correm grandes riscos de fornecerem os dados de seu cartão de crédito ao fazerem o download de falsos antivírus fornecidos pelos links de Blackhat SEO.
No início do mês, enquanto o mundo vasculhava em busca de informações sobre o que houve com o vôo desaparecido da Air France, pesquisadores descobriram que um grupo criminoso digital tramava uma estratégia para tirar vantagem das notícias. Utilizando-se de uma técnica chamada de “envenenamento da otimização dos mecanismos de busca” (Blackhat SEO), os criminosos conseguem obter um bom posicionamento nos buscadores para páginas feitas especialmente para usuários que digitarem termos como air france crash ou french airbus crash. Tais páginas não continham notícias sobre o acidente com o avião, mas sim um componente antivírus falso (chamado de Install_2022.exe e detectado pela Trend Micro como TROJ_FAKEAV.BIM). Quando executado, o TROJ_FAKEAV.BIM faz o download e executa o restante do falso pacote antivírus (TROJ_YEKTEL.AA).
As variantes do falso antivírus apresentam mais ou menos os mesmos truques visuais que fazem que o usuário acredite que há uma infecção no PC. Neste caso, primeiramente o TROJ_YEKTEL.AA exibe uma mensagem para a instalação do Personal Antivirus, um pacote que se passa por software de segurança. Ele solicita ao usuário que aceite os Termos e Condições do software para continuar a instalação. Depois, executa uma verificação completa do sistema que revela várias “detecções de malware” no PC.
Essas infecções no sistema são falsas, não existem, e visam apenas assustar os usuários e induzi-los a comprar a versão completa do produto. Os criminosos digitais imitam até mesmo a licença de um software legítimo, cobrando o preço de US$ 59,95 para a licença anual e U$ 79,95 para a licença vitalícia. Ambas vêm com suporte premium 24 horas, desde que seja pago o adicional de US$ 19,95. Os usuários que utilizam seus cartões de crédito não recebem o benefício da proteção total. Pelo contrário, sem nem mesmo saberem, passam seus dados financeiros para o submundo do crime digital.
Os criminosos se aproveitaram também das notícias em que a OMS declarava que o H1N1 havia se tornado pandemia mundial. Eles perceberam rapidamente a popularidade do evento e apresentaram páginas preparadas com malwares para vitimar o máximo de leitores curiosos possível.
Usuários que clicaram em quaisquer dos links maliciosos instalaram um cavalo de Tróia (TROJ_DLOADR.API). Esse faz o download de outro cavalo de Tróia (TROJ_DROPPER.NXA) que, por sua vez, conduz ao download de um terceiro (TROJ_AGENT.GUZZ) no PC infectado. Por fim, este último faz o download de outros malwares e acessa endereços que coletam outros tipos de arquivos, que levavam os usuários a fazerem o download de um falso antivírus, detectado como TROJ_DROPER.AS, que instala o BKDR_PLTRGEIST.A. Esse é um backdoor que, embora não se propague sozinho, permite que usuários remotos mal-intencionados acessem o sistema infectado.
Os analistas da Trend Micro acreditam que estes ataques estão de alguma forma relacionados, uma vez que ambos utilizam o mesmo método de operação e direcionam ao falso antivírus. Além disso, os ataques estão hospedados no domínio is-the-boss.com, um conhecido host de malware. O intervalo entre os dois ataques e o tempo que os criminosos levaram para preparar cada um deles como reação às notícias mundiais sugerem que eles encontraram modos mais fáceis e mais rápidos de manipular os resultados dos mecanismos de busca para seus propósitos.
Os criminosos digitais lançam campanhas Blackhat SEO que enviam para onde for possível spam com links para as páginas maliciosas. Em alguns casos, eles postam links para as páginas maliciosas em comentários de blogs e sites em que a palavra-chave (gripe suína ou vôo 447) é um link para a página maliciosa. Eles também implantam fazendas de links – vários blogs que contêm nada mais do que links para as páginas maliciosas. Quanto mais spam, mais links para a página maliciosa surgem, o que melhora seu posicionamento nos resultados dos mecanismos de pesquisa quando certas palavras-chave são procuradas. Os mecanismos de busca utilizam algoritmos complexos para determinar a posição de uma página e consideram o número de links em outros sites para esta como um modo de determinar sua importância e credibilidade.
Sobre a Trend Micro
A Trend Micro Inc., líder mundial em conteúdos de segurança para internet, se concentra em garantir o intercâmbio de informações digitais para empresas e consumidores. Pioneira nessa área, a empresa está aperfeiçoando ainda mais sua tecnologia de gerenciamento integrado de ameaças, com a finalidade proteger a continuidade operacional, as informações e as propriedades particulares contra malware, spam, vazamento de dados e as mais novas ameaças web. Para saber mais sobre ameaças web e malwares visite www.trendmicro.com/go/trendwatch. Por meio de soluções flexíveis, que avaliam multiplos fatores ligados à web e possuem suporte de especialistas em todo o globo, 24 horas por dia, a Trend Micro oferece produtos confiáveis, que são comercializados através de seus canais. Informações adicionais sobre a empresa entre no www.trendmicro.com.
Informações sobre a Trend Micro para a imprensa
RMA Comunicação e Marketing - http://rmacomunicacao.com.br
Juliana Gaspardo - juliana.gaspardo@rmacomunicacao.com.br - (11) 2244-5909
Renata Viana - renata.viana@rmacomunicacao.com.br - (11) 2244-5953
