Linha Defensiva

Bankers utilizam Orkut para se espalhar

Bankers exploram a confiança nos amigos em redes sociais para se espalhar.
ARIS-LD | 05/04/2006 00h45

A confiança dos usuários em seus amigos está sendo explorada por Bankers — cavalos-de-tróia que roubam senhas de banco — para infectar um maior número de usuários. Scraps (“Recados”) maliciosos estão sendo enviados para diversos perfis, prometendo desde fotos sensuais até pacotes de segurança. Todos eles, no entanto, possuem um cavalo-de-tróia ao invés do conteúdo prometido.

Os criminosos estão usando softwares que permitem o envio de recados em massa para enviar o mesmo recado malicioso para diversos usuários utilizando contas roubadas. Como a conta é roubada, o usuário não desconfia que o link possa ser malicioso, pois a mensagem parece vir de um amigo ou conhecido.

Tudo indica que as contas são roubadas pelos mesmos cavalos-de-tróia que também roubam as senhas de banco. O único motivo por trás da captura da senha de uma conta Orkut é explorar a relação de confiança que o usuário tem com os demais usuários da rede social. Com o crescimento da popularidade dos serviços de redes sociais, especialmente o Orkut, não é supreendente que eles sejam utilizados de forma maliciosa.

A Linha Defensiva está examinando o funcionamento dos cavalos-de-tróia espalhados via Orkut para confirmar se as mensagens maliciosas são enviadas através de ferramentas de mensagem em massa ou de forma automatizada pelo próprio vírus. Poucos “Bankers” incluem componentes de worm para enviar e-mails infectados de forma automática, então é possível que os trojans via Orkut também sejam enviados de forma manual.

Alguns dos links encontrados no Orkut instalam o Banker “system32″, que é uma das infecções mais comuns no fórum. Bankers também são geralmente distribuídos via e-mails falsos tentando se passar por cartões virtuais, fotos, geradores de crédito para celular e diversos outros assuntos.

A Linha Defensiva recomenda extremo cuidado ao clicar em qualquer link na web, e isso também vale para o Orkut e qualquer outro site. Mesmo que um link pareça ter sido enviado por um amigo seu, desconfie, pois seu amigo pode ter tido a conta do Orkut/email/MSN roubada.

Se você encontrar algum usuário enviando recados malicisos no Orkut, avise-o. Peça para que ele troque a senha e verifique a integridade no sistema, fazendo uma checagem por códigos maliciosos e instalando um firewall, que avisará caso qualquer programa tente uma conexão com a Internet (para, por exemplo, enviar sua senha).

Caso tenha clicado em um link malicioso no Orkut, veja o nosso passo-a-passo para obter assistência na remoção de vírus. A maioria dos vírus encontrados no Orkut podem ser removido facilmente. Se você encontrar links maliciosos no Orkut, entre em contato e envie qualquer link suspeito para o AntiVirus Safe, aqui da Linha Defensiva.

A Linha Defensiva agradece antecipadamente qualquer colaboração.

 
imprimir
Compartilhe

Comentários

Os comentários são de responsabilidade de seus respectivos autores

  • http://www.orkut.com/Profile.aspx?uid=2024425428467899548 Filipe Fleming

    Ja divulguei para toda minha lista do orkut com os devidos creditos, muito importante o artigo.

    Parabens

  • http://www.douglasdiv.oi.com.br Douglas Miranda

    Gostaria de saber se apenas clicando no link (no Orkut ou em qualquer outro lugar), meu PC pode se infectar? Pois, uso antivírus e firewall e não baixo arquivos suspeitos. Sendo assim, apenas abrindo uma página meu PC pode se infectar?

  • http://linhadefensiva.uol.com.br Altieres Rohr

    Douglas Miranda

    Geralmente é necessário abrir o arquivo, o que pode ser feito na hora do download. Em geral, você vai precisar pelo menos 2 cliques.

    Note que os antivírus não são muito bons para remover Bankers, visto que eles não causam epidemias mundias, portanto geralmente recebem uma classificação de baixo risco pelas companhias.

    O melhor é ficar de olho e nem clicar no link para evitar qualquer problema.

  • http://gpwm.devin.com.br Joaquim Espinhara

    Sobre o questionamento do Douglas Miranda, não sei como funciona via orkut, mas dá forma tradicional nos emails que os bankers enviam eles dispõe de metodos utilizando java scripts que copiam o keylogger para a maquina da vitima.

  • http://linhadefensiva.uol.com.br Altieres Rohr

    Joaquim Espinhara

    Você poderia enviar algum e-mail que faz isso para o AntiVirus Safe? Já vi alguns e-mails que utilizam meta-refresh, mas nenhum que explora falhas pra copiar o arquivo de outra maneira.

    Outra coisa: Javascript não é executado em e-mails, então eles devem fazer de outra forma.

  • Gustavo Dias

    Isso é simples, estão roubando as senhas por esses sites onde os usuários entram e digitam usuário e senha pra poder mandar scrap pra todo mundo
    reparem que na maioria dos casos quando chega um arquivo malicioso desse o usuário já tem “passagens” por esses sites, creio eu que estes estão “vendendo” essas senhas para terceiros, ou eles mesmo usando as mesmas…

  • Daniel

    Eu não tenho total certeza , mas de qualquer forma , tentem evitar clikar em links que vcs não conhecem ( geralmente o link é extenso e é esquisito )
    isso já seria um bom começo
    e se acabou clikando , não fazer download de algo que possa aparecer pronto para o download .
    hum , acho que isso seria o básico
    tentei ajudar =)

  • Gustavo korontai

    Uma falha descoberta recentemente no Internet Explorer denominada createTextRang, permitiu que “bankers” utilizassem um exploit escrito em “C” para gerar arquivos maliciosos com extensão .html e .htm.

    Ao abrir esses arquivos, um programa denominado “loader” (onde tamanho em média varia entre 8kb a 23kb) é baixado para o computador da vítima e nomeado aleatoriamente. ex: mhh.exe
    Após o download ( invisivel ) através da falha explorada, o Browser é fechado devido a um crash que o exploit causa, então o “loader” é executado e começa a copiar o codigo do cavalo de troia para o computador da vítima sem que a mesma note.

    Geralmente, o cavalo de troia utiliza nomes como system32.exe, system.exe, msconfig.exe,com o objetivo de passarem despercebidos até mesmo por usuários com mais experiência..Quando o download do código é finalizado o “loader” se auto finaliza e o cavalo de tróia cria uma cópia dele mesmo em algum diretorio de sistema, além de adicionar uma chave no registro para se auto-iniciar junto com o Windows.

    Algumas pessoas infectadas ao reiniciarem seu computador, podem se deparar com uma mensagem de erro “socket error”, pois o virus ao ser executado tenta enviar um email para o “hacker” avisando que o computador está online.Este erro ocorre devido a erros em seu código;o virus não verifica corretamente se o computador está ou não conectado a internet. Geralmente pessoas que usam Internet que seja necessário discagem irão notar a presença dessas mensagens.

    Os cavalos de troia são modificados diariamente para se adaptar às mudanças feitas nos sistemas de internet banking. Uma informação importante aos usuários mais desavisados é a solicitação de dados que normalmente não são necessários para acessar a conta corrente como por exemplo,a senha do cartão.
    Utilize sua senha do cartão somente para movimentar sua conta. Caso seja solicitado algo diferente ao tentar entrar em sua conta, é prudente que o usuário ligue imediatamente para seu banco e notifique o fato para que as providências sejam tomadas.

    Infelizmente os antivirus não são capazes de detectar com eficiência esse tipo de praga. Os cavalos de troia passam por atualizações quase diárias e como foi citado anteriormente, os virus são classificados como de baixo risco.

    Algumas mudanças em sistemas de internet banking tem ajudado no combate a golpes virtuais, mas a principal ferramenta no combate a esse tipo de fraude está na mão dos usuários, cautela.

 
 
Boletim informativo Cadastre-se e receba em seu e-mail

Anuncie | Termos de Uso | Politica de Privacidade | WP

Editado por Altieres Rohr. Mantido pelo Staff Linha Defensiva

Contato Geral:

Parceiro
Site Seguro