Criminosos brasileiros distribuem trojan com a ajuda dos links patrocinados do Google
Imagine que você está querendo baixar algum software popular, como o Chrome, Java ou Skype. Como você encontrará o link de download? Usando um buscador como o Google, provavelmente. É justamente disso que criminosos brasileiros estão se aproveitando para disseminar um trojan: eles compram links patrocinados para aparecer nas primeiras posições e infectar o maior número possível de usuários.
A Kaspersky, que descobriu a praga, diz que vários softwares populares são alvo dos golpistas: quando o usuário procura por termos como Firefox, Skype, Chrome, Flash Player, Java e WinRAR no Google, um dos primeiros resultados direciona o usuário para uma página com a descrição e o link de download do programa, que instala um aplicativo malicioso capaz de roubas senhas de bancos, identificado como Trojan-Banker.Win32.Lohmys.a.
Mas o truque não é tão simples assim: os criminosos se utilizam de várias formas para enganar o usuário e tentar convencê-lo de que se trata de algo legítimo. O primeiro detalhe é que os arquivos estão hospedados no Google Code, um serviço do Google para desenvolvedores. Além disso, os executáveis realmente baixam e instalam o programa que o usuário desejava (junto com o trojan, claro).
Para piorar, o trojan é assinado digitalmente, para tentar passar despercebido pelo usuário e pelos softwares de segurança. O certificado digital era válido, foi emitido pela Verisign e estava em nome de um tal de “Jander Pinto da Silva” (é bem provável que o nome seja falso). A Verisign já revogou o certificado, que foi usado em mais de 50 trojans bancários.
A Kaspersky afirma que avisou o Google da campanha de links patrocinados, no entanto, o Tecnoblog apurou que, até o momento da publicação deste texto, ainda era possível visualizar não um, mas dois sites suspeitos distribuindo um instalador do Skype ao pesquisar por “download skype”, como você pode ver na imagem abaixo:
Quando instalado, o trojan cria entradas no registro do Windows, sendo que uma delas fará com que o arquivo malicioso seja aberto durante a inicialização do sistema, de acordo com Fabio Assolini, pesquisador de segurança da Kaspersky. Alguns arquivos DLL são registrados no Internet Explorer e serão responsáveis por capturar dados sensíveis sem que o usuário perceba.