Malware PimpMyWindow, do Facebook, mostra profissionalização do hacker brasileiro
Depois de um longo período apostando no bom e velho troia bancário – ação simples com retorno garantido – o hacker brasileiro dá sinais de “profissionalização” de sua abordagem. A dica desse processo se deu com um recente ataque de adware 100% nacional: o PimpMyWindow, que promete –e, na verdade, cumpre – a troca de cor que o usuário vêm em seu Facebook. O motivo dessa mudança de comportamento pode ser a Lei Carolina Dieckmann, sancionada em dezembro e que entra em vigor em abril.
Curta, no Facebook, a Fan Page do IT Web
Mas se o aplicativo, de fato, cumpre o que promete, qual o perigo envolvido? Para começar, são dois, de acordo com analista sênior da Kaspersky Lab no Brasil, Fábio Assolini. De acordo como executivo, a primeira coisa que o sistema faz é criar uma regra que modifica a apresentação de publicidade nos sites visitados pelo computador infectado. Ataques de adware são muito comuns no exterior, mas até então a empresa de segurança jamais havia visto um caso do tipo no Brasil.
Sabe o sistema de publicidade do Google, o Adsense? Quanto mais cliques os banners recebem, mais o dono do banner recebe em dinheiro. O PimpMyWindow apresenta banners de contas “piratas”, fazendo com que o criador do malware receba dinheiro, de certa forma, legal, vindo de publicidade do Google. Obviamente que isso burla as regras estabelecidas pelo gigante de buscas, o que invariavelmente causa sua punição. Mas, para isso, é preciso que o Google identifique a fraude. O ataque, portanto, não é um vírus – que infecta o computador para roubar informações – mas um malware (software malicioso), que age diretamente no navegador da vítima e muda o comportamento do sistema. Além disso, ele é um plug-in do navegador da internet que funciona em Chrome, Internet Explorer e Firefox, ou seja, ele não fica dentro da máquina, mas na esfera do browser.
“Costumamos dizer que esse tipo de invasão está na zona de aplicativos cinza – o adware não chega a ser um vírus. Ele engana o usuário, mas não deixa de ser funcional”, disse Assolini. Como é possível ver na imagem acima, o aplicativo realmente muda a cor do Facebook do usuário, se valendo do CSS. Mas a modificação ocorre somente na esfera do browser, e não diretamente na rede social. Ou seja, é possível ver o resultado somente no navegador infectado.
“ O responsável pelo malware deve utilizar várias contas do Google Adword, já que o Google monitora muito de perto o comportamento delas. Quando uma conta tem uma movimentação muito grande, eles começam a monitorar porque pode ser que esses cliques sejam fraudulentos”, explicou Assolini.
Outro ponto importante de atenção é que, uma vez instalado, o PimpMyWindow passa a publicar no nome do usuário, convidando os amigos da rede a instalar o sistema também. “Este é um comportamento típico de vírus, que faz com que o adware comece a sair dessa zona cinzenta de aplicação suspeita”, comentou. A dificuldade de desinstalar o plug-in também é um comportamento claro de software malicioso.
“Ele também injeta nas páginas dos sites populares um iframe de propaganda. Isso em sites como Orkut, Facebook, Google e MSN, que não possuem serviço de propaganda. Isso aumenta a possibilidade de ele ganhar cliques e ter mais receita”, disse.
Por que evolução?
Mas porque isso indica uma evolução do formato de ataque do hacker brasileiro? Assolini é direto. “Praticamente 95% dos ataques produzidos no Brasil são do tipo troia bancário. Isso porque o hacker brasileiro quer ganhar dinheiro de forma rápida, e nada melhor do que fazer uma abordagem em massa e não direcionada para conseguir seu objetivo. Mas um ataque de adware é algo de longo prazo, porque é preciso que várias pessoas baixem o malware e que elas cliquem nos anúncios ao longo do tempo”, explicou.
Isso não significa que usuários brasileiros não costumavam ser vítimas desses ataques antes – o que o executivo da Kaspersky deixa claro é que, até então, nenhum ataque do tipo havia sido produzido 100% no Brasil. Na visão do especialista, essa nova abordagem pode ser um indicativo de mudança de hábito dos invasores por conta da Lei Carolina Dieckmann, recentemente aprovada pelo Congresso Nacional e sancionada pela presidente da República, que classifica ataques de vírus como crime. Levando em consideração que o texto da lei, conforme especialistas, não contempla o mundo virtual tal como ele está estabelecido, seria uma forma de burlar uma possível penalização.
Outro risco corrido pelo usuário que se vale do PimpMyWindow é o aplicativo que os banners fraudulentos apresentados nos sites por eles visitados podem direcionar a URLs falsas, que tenham como objetivo roubar não somente informações sobre o comportamento de navegação do usuário, mas também direcioná-lo para sites falsos que desviem dinheiro.
“Isso demonstra que os brasileiros estão se inspirando nas técnicas do exterior. Estão buscando novas ideias e trazendo para o Brasil”, concluiu o especialista.
Atualizado às 14h10
