Error parsing XSLT file: \xslt\SearchBox.xslt
Error parsing XSLT file: \xslt\MenuPrincipal.xslt

Error parsing XSLT file: \xslt\Breadcrumb.xslt

Buscas por iCloud Revelam FAKEAV

quinta-feira, 28 de julho de 2011 por Administrador

Todo mundo está comentando sobre o iCloud, o novo serviço na nuvem anunciado pela Apple. Desde a divulgação feita por Steve Jobs no início do mês, na "Conferência Anual de Desenvolvedores (WWDC)" da empresa, passando pelo processo de infração de direitos autorais enfrentado pela Apple, o iCloud é um dos assuntos mais abordados atualmente. Durante nossa pesquisa, descobrimos várias tentativas de disseminar malwares FAKEAV por cibercriminosos usando a palavra-chave "iCloud".

Os cibercriminosos geralmente utilizam técnicas que adulteram resultados de buscas (SEO) para acionar o surgimento de URLs maliciosas que levam a páginas que hospedam malwares FAKEAV. Esse tipo de técnica, conhecida como blackhat SEO, utiliza o Google para levar os visitantes até páginas infectadas com arquivos maliciosos. Neste caso particular, o arquivo transmitido chamado SecurityScanner.exe foi detectado pela Trend Micro como TROJ_FAKEAV.HKZ.

icloud_google_search2

Ao ser utilizada a palavra-chave "icloud mymobi", os resultados são URLs possivelmente maliciosas. O MyMobi aparenta ser um site de notícias sobre equipamentos eletrônicos que foi infectado. Esse site já havia sido bloqueado graças a atividades maliciosas, mas desde então seus arquivos maliciosos foram removidos, o que gerou seu desbloqueio. Na imagem mostrada acima, o domínio mymobi.com foi infectado com arquivos com a extensão .php3 e recebeu a palavra-chave "icloud". Nesse exemplo, os hackers criam tópicos que contêm as palavras-chave para obter uma posição de destaque nos resultados de busca do Google. Esses resultados servem como isca para ataques de phishing, especialmente para o antivírus falso conhecido como Windows Antispyware for 2012.

icloud_phish_form

Essas URLs não podem ser acessadas pela barra de endereços do navegador, apenas por meio de buscas realizadas no Google. Sabemos disso porque a URL precisa ser direcionada pelo Google para que ela se torne acessível. A partir daí, os usuários são redirecionados para uma URL do FAKEAV com o domínio de topo (TLD) co.cc. O script utilizado para realizar o download do arquivo é parecido com o de outros malwares FAKEAV.

Quando o arquivo é executado, o SecurityScanner.exe ou TROJ_FAKEAV.HKZ instala um falso programa antivírus chamado XP Antispyware 2012. Esse programa possui um botão de registro. Ao clicar nesse botão, os usuários são redirecionados a um site de phishing com um domínio recém-criado, o qual contém uma opção para "Escolher o Plano e Comprar" (Choose Plan & Checkout) o XP Antispyware 2012. Esse malware FAKEAV também impede que os navegadores Internet Explorer (IE) e Google Chrome acessem outros sites da Internet, a menos que o "produto" seja comprado.

icloud_googlechrome_blocked

Como existe a possibilidade de que os usuários busquem informações sobre o iCloud, estamos atualmente monitorando possíveis URLs que hospedem FAKEAV com o domínio co.cc e que usem a palavra-chave "icloud". Temos observado alguns resultados que podem ser exibidos em buscas por termos, como "o que é o apple icloud" ou "o que é icloud apple", mas os resultados são exibidos muito longe das primeiras colocações, o que é insuficiente para afetar muitos usuários. Também temos visto várias páginas cujos nomes contêm as palavras "apple" e "icloud" em sites aparentemente infectados, indicando um possível ataque em massa que utilize essas palavras-chave.

Os usuários podem consultar as seguintes publicações como referência para essa ameaça FAKEAV / blackhat SEO:

Atualizado em 20 de junho, 2011, 19:41 PST: Como já foi mencionado, estamos acompanhando o caso e observamos que as URLs infectadas continuam ativas. Estamos bloqueando essas URLs específicas para evitar que os usuários dos produtos Trend Micro que possuem o recurso de Proteção contra Ameaças Web ativado sejam vítimas desse golpe.

 

Error parsing XSLT file: \xslt\BlogPostListComments.xslt

Deixe um comentário:

Nome:  
Email:  
Website:
Comentário:  
 
  • Error parsing XSLT file: \xslt\BlogCategories.xslt
  • Error parsing XSLT file: \xslt\BlogArchive.xslt

Copyright 1989-2009 Trend Micro, Inc. Todos os direitos reservados.             |       
|        Topo