Início » Arquivos » Antivírus e Segurança » Criminosos brasileiros distribuem trojan com a ajuda dos links patrocinados do Google

Criminosos brasileiros distribuem trojan com a ajuda dos links patrocinados do Google

Paulo Higa Por

Imagine que você está querendo baixar algum software popular, como o Chrome, Java ou Skype. Como você encontrará o link de download? Usando um buscador como o Google, provavelmente. É justamente disso que criminosos brasileiros estão se aproveitando para disseminar um trojan: eles compram links patrocinados para aparecer nas primeiras posições e infectar o maior número possível de usuários.

A Kaspersky, que descobriu a praga, diz que vários softwares populares são alvo dos golpistas: quando o usuário procura por termos como Firefox, Skype, Chrome, Flash Player, Java e WinRAR no Google, um dos primeiros resultados direciona o usuário para uma página com a descrição e o link de download do programa, que instala um aplicativo malicioso capaz de roubas senhas de bancos, identificado como Trojan-Banker.Win32.Lohmys.a.

download-skype-trojan-pagina

Mas o truque não é tão simples assim: os criminosos se utilizam de várias formas para enganar o usuário e tentar convencê-lo de que se trata de algo legítimo. O primeiro detalhe é que os arquivos estão hospedados no Google Code, um serviço do Google para desenvolvedores. Além disso, os executáveis realmente baixam e instalam o programa que o usuário desejava (junto com o trojan, claro).

Para piorar, o trojan é assinado digitalmente, para tentar passar despercebido pelo usuário e pelos softwares de segurança. O certificado digital era válido, foi emitido pela Verisign e estava em nome de um tal de “Jander Pinto da Silva” (é bem provável que o nome seja falso). A Verisign já revogou o certificado, que foi usado em mais de 50 trojans bancários.

A Kaspersky afirma que avisou o Google da campanha de links patrocinados, no entanto, o Tecnoblog apurou que, até o momento da publicação deste texto, ainda era possível visualizar não um, mas dois sites suspeitos distribuindo um instalador do Skype ao pesquisar por “download skype”, como você pode ver na imagem abaixo:

download-skype-trojan

Quando instalado, o trojan cria entradas no registro do Windows, sendo que uma delas fará com que o arquivo malicioso seja aberto durante a inicialização do sistema, de acordo com Fabio Assolini, pesquisador de segurança da Kaspersky. Alguns arquivos DLL são registrados no Internet Explorer e serão responsáveis por capturar dados sensíveis sem que o usuário perceba.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Gilberto Nunes
Por isso eu nunca clico em links patrocinados.
Romolo Van Halen
Outro dia estava visitando o site de um famoso diário de esportes e tinha um banner que entrava na frente do site com um tela igual a de atualização do flash, tenho certeza que muita gente caiu, eu não fui atrás do link, mas creio que era um trojan ou algo do gênero.
Braz Moura Locateli
Por isso só baixo programas de lugares confiáveis, alem de sempre priorizar as lojas de aplicativos, que tendem a ser bem mais seguras.
Miguel Polli
HAHAHAHAH, *adblock*
Rodrigo Callado
Por isso que sempre recomendo que as pessoas prestem atenção no links e evitar os que são marcados como "anúncios", marcação essa que recentemente ficou mais visível.
Jchs Freitas
Utilizar programas como o Sandiebox poderiam ajudar a evitar esse golpe?
Anderson Quadros
"Parabéns" ao cracker, engenharia muito bem feita e meu anti virus mesmo atualizado não pegou. Se você extrair o setup com o 7zip da pra ver que foi feito em Delphi. País de 171 mesmo.
Lucas da Silva
Melhor pra quem sempre baixa dos sites oficiais
Moisés Ribeiro de Deus
No Facebook tem trocentos grupos aonde criminosos se juntam para trocar informações sobre roubo de dados bancários e cartões de crédito...