Todo mundo está comentando sobre o
iCloud, o novo serviço na nuvem
anunciado pela Apple. Desde a divulgação feita por Steve Jobs no início do
mês, na "Conferência Anual de Desenvolvedores (WWDC)" da
empresa, passando pelo processo de infração de direitos autorais
enfrentado pela Apple, o iCloud é um dos assuntos mais
abordados atualmente. Durante nossa pesquisa, descobrimos várias
tentativas de disseminar malwares FAKEAV por cibercriminosos usando
a palavra-chave "iCloud".
Os cibercriminosos geralmente
utilizam técnicas que adulteram resultados de buscas (SEO) para
acionar o surgimento de URLs maliciosas que levam a páginas que
hospedam malwares FAKEAV. Esse tipo de técnica, conhecida como
blackhat SEO, utiliza o Google para levar os visitantes até páginas
infectadas com arquivos maliciosos. Neste caso particular, o
arquivo transmitido chamado SecurityScanner.exe foi
detectado pela Trend Micro como TROJ_FAKEAV.HKZ.
|
|
Ao ser utilizada a palavra-chave
"icloud mymobi", os resultados são URLs possivelmente maliciosas. O
MyMobi aparenta ser um site de notícias sobre equipamentos
eletrônicos que foi infectado. Esse site já havia sido bloqueado
graças a atividades maliciosas, mas desde então seus arquivos
maliciosos foram removidos, o que gerou seu desbloqueio. Na imagem
mostrada acima, o domínio mymobi.com foi infectado com arquivos com
a extensão .php3 e recebeu a palavra-chave "icloud". Nesse exemplo,
os hackers criam tópicos que contêm as palavras-chave para obter
uma posição de destaque nos resultados de busca do Google. Esses
resultados servem como isca para ataques de phishing, especialmente
para o antivírus falso conhecido como Windows Antispyware for
2012.
 |
Essas URLs não podem ser acessadas
pela barra de endereços do navegador, apenas por meio de buscas
realizadas no Google. Sabemos disso porque a URL precisa ser
direcionada pelo Google para que ela se torne acessível. A partir
daí, os usuários são redirecionados para uma URL do FAKEAV com o
domínio de topo (TLD) co.cc. O script utilizado para realizar o
download do arquivo é parecido com o de outros malwares FAKEAV.
Quando o arquivo é executado, o
SecurityScanner.exe ou TROJ_FAKEAV.HKZ instala um falso programa
antivírus chamado XP Antispyware 2012. Esse programa
possui um botão de registro. Ao clicar nesse botão, os usuários são
redirecionados a um site de phishing com um domínio recém-criado, o
qual contém uma opção para "Escolher o Plano e Comprar" (Choose
Plan & Checkout) o XP Antispyware 2012. Esse malware
FAKEAV também impede que os navegadores Internet Explorer
(IE) e Google Chrome acessem outros sites da
Internet, a menos que o "produto" seja comprado.
|
|
Como existe a possibilidade de que
os usuários busquem informações sobre o iCloud, estamos atualmente
monitorando possíveis URLs que hospedem FAKEAV com o domínio co.cc
e que usem a palavra-chave "icloud". Temos observado alguns
resultados que podem ser exibidos em buscas por termos, como "o que
é o apple icloud" ou "o que é icloud apple", mas os resultados são
exibidos muito longe das primeiras colocações, o que é insuficiente
para afetar muitos usuários. Também temos visto várias páginas
cujos nomes contêm as palavras "apple" e "icloud" em sites
aparentemente infectados, indicando um possível ataque em massa que
utilize essas palavras-chave.
Os usuários podem consultar as
seguintes publicações como referência para essa ameaça FAKEAV /
blackhat SEO:
Atualizado em 20 de junho, 2011,
19:41 PST: Como já foi mencionado, estamos acompanhando o caso
e observamos que as URLs infectadas continuam ativas. Estamos
bloqueando essas URLs específicas para evitar que os usuários dos
produtos Trend Micro que possuem o recurso de Proteção contra
Ameaças Web ativado sejam vítimas desse golpe.