Técnica pode ajudar golpistas a burlar filtros utilizados por redes de publicidade que deveriam bloquear anúncios falsos. A Confiant, uma empresa especializada no combate à fraude publicitária on-line, publicou um relatório técnico detalhando um golpe em circulação na web em que anúncios montados e cadastrados por hackers são acompanhadas de um código oculto em uma imagem para redirecionar usuários de computadores da Apple, com macOS, para downloads indesejáveis. Segundo a Confiant, os golpistas estavam conseguindo redirecionar internautas até cinco milhões de vezes por dia, gerando ao menos US$ 1,2 milhão em prejuízos para anunciantes e donos de sites.
As vítimas recebem em sua tela um alerta informando que precisam atualizar o plugin do Flash Player. A mensagem é completamente falsa — o Flash já é inclusive desnecessário em praticamente todos os sites. O download, caso seja permitido, leva a um programa malicioso chamado Shlayer.
Mensagem falsa diz que internauta precisa atualizar o Flash Player e dá instruções para o download
Reprodução/Confiant
O Shlayer é capaz de instalar programas indesejáveis no computador, principalmente softwares de publicidade (adware). Adwares exibem propagandas e pop-ups constantes no computador, consumindo recursos e atrapalhando o uso normal da máquina, enquanto permite que criminosos faturem com a exibição da publicidade.
Para facilitar o ataque, o Shlayer pode usar uma assinatura digital válida. Essa assinatura é obtida pelos hackers da própria Apple. Em outras palavras, eles se cadastram como desenvolvedores de software junto à Apple com nomes falsos e usam a autorização obtida para assinar digitalmente o vírus, burlando parcialmente certos recursos de segurança do macOS, como o Gatekeeper. Hackers também podem atacar outros programadores para roubar as chaves pertencentes a eles, mas uma análise fabricante de antivírus Intego, especializada no ambiente Apple, observou que, no caso dos arquivos do Shlayer, os nomes cadastrados pareciam mesmo falsos.
Golpe usa fonte para mirar macOS
O golpe começa com um código especial que acompanha anúncios encomendados pelos hackers. Esse código está dividido em duas partes, com a segunda parte oculta dentro da imagem da propaganda. A imagem em si é benigna e não causa nenhum erro ou dano ao ser visualizada. No entanto, o código presente na publicidade consegue extrair a parte maliciosa da imagem para executá-la como se fosse programação web.
A técnica de esconder dados ou códigos dentro de outros arquivos que também são válidos em seu formato aparente é chamada de esteganografia. Usando essa técnica, criminosos podem esconder parte da fraude dentro de uma imagem válida, o que ajuda a burlar filtros e checagens feitas pelas redes de publicidade para detectar e impedir a veiculação de peças maliciosas.
Diferente de muitos golpes on-line que atacam apenas o Microsoft Windows, somente usuários de macOS da Apple serão redirecionados. O golpe não prevê uma versão para usuários de Windows. Para garantir isso, o código presente na publicidade verifica a existência de uma fonte (tipo de letra) específica e típica de sistemas da Apple. Usuários de Windows não terão essa fonte instalada e, assim, não serão redirecionados. No entanto, a fabricante de antivírus Malwarebytes identificou campanhas maliciosas contra usuários de Windows que estariam relacionadas aos mesmos responsáveis. Elas também usam o mesmo tema como isca: uma atualização do Flash Player.
Em novembro, uma campanha semelhante redirecionou usuários de iOS – o sistema usado no iPhone e no iPad. Como esses dispositivos não permitem a execução de programas de fora da App Store, a campanha redirecionava o navegador a anúncios suspeitos que pediam informações pessoais e vendiam cartões de presente. O golpe atingiu principalmente internautas nos Estados Unidos.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
Selo Altieres Rohr
Ilustração: G1
