Imagine que você está querendo baixar algum software popular, como o Chrome, Java ou Skype. Como você encontrará o link de download? Usando um buscador como o Google, provavelmente. É justamente disso que criminosos brasileiros estão se aproveitando para disseminar um trojan: eles compram links patrocinados para aparecer nas primeiras posições e infectar o maior número possível de usuários.

A Kaspersky, que descobriu a praga, diz que vários softwares populares são alvo dos golpistas: quando o usuário procura por termos como Firefox, Skype, Chrome, Flash Player, Java e WinRAR no Google, um dos primeiros resultados direciona o usuário para uma página com a descrição e o link de download do programa, que instala um aplicativo malicioso capaz de roubas senhas de bancos, identificado como Trojan-Banker.Win32.Lohmys.a.

download-skype-trojan-pagina

Mas o truque não é tão simples assim: os criminosos se utilizam de várias formas para enganar o usuário e tentar convencê-lo de que se trata de algo legítimo. O primeiro detalhe é que os arquivos estão hospedados no Google Code, um serviço do Google para desenvolvedores. Além disso, os executáveis realmente baixam e instalam o programa que o usuário desejava (junto com o trojan, claro).

Para piorar, o trojan é assinado digitalmente, para tentar passar despercebido pelo usuário e pelos softwares de segurança. O certificado digital era válido, foi emitido pela Verisign e estava em nome de um tal de “Jander Pinto da Silva” (é bem provável que o nome seja falso). A Verisign já revogou o certificado, que foi usado em mais de 50 trojans bancários.

A Kaspersky afirma que avisou o Google da campanha de links patrocinados, no entanto, o Tecnoblog apurou que, até o momento da publicação deste texto, ainda era possível visualizar não um, mas dois sites suspeitos distribuindo um instalador do Skype ao pesquisar por “download skype”, como você pode ver na imagem abaixo:

download-skype-trojan

Quando instalado, o trojan cria entradas no registro do Windows, sendo que uma delas fará com que o arquivo malicioso seja aberto durante a inicialização do sistema, de acordo com Fabio Assolini, pesquisador de segurança da Kaspersky. Alguns arquivos DLL são registrados no Internet Explorer e serão responsáveis por capturar dados sensíveis sem que o usuário perceba.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Canal Exclusivo

Relacionados

Primeiro trojan para iPhone consegue roubar dados do reconhecimento facial
Primeiro trojan para iPhone consegue roubar dados do reconhecimento facial
Vacina contra COVID-19 vira isca para roubar dados e infectar PCs
Vacina contra COVID-19 vira isca para roubar dados e infectar PCs
O que é backdoor em computação?
O que é backdoor em computação?
Como saber se um boleto bancário é falso [Golpe]
Como saber se um boleto bancário é falso [Golpe]
O que é pharming?
O que é pharming?
iPhone é um dos termos mais lucrativos para o Google
iPhone é um dos termos mais lucrativos para o Google
O que é um crime cibernético? 3 casos populares
O que é um crime cibernético? 3 casos populares
Criminosos cobram até US$ 20 mil para colocar malware na Google Play Store
Criminosos cobram até US$ 20 mil para colocar malware na Google Play Store
ARC Welder: a maneira mais fácil de rodar apps do Android no Windows, no Mac e no Linux
ARC Welder: a maneira mais fácil de rodar apps do Android no Windows, no Mac e no Linux
Google segue Meta e remove links de notícias para não pagar taxa no Canadá
Google segue Meta e remove links de notícias para não pagar taxa no Canadá