Total Security - www.totalsecurity.com.br
Google AdWords volta a ser usado em fraudes bancárias
Ícone de trojan usado em golpe via Google AdWords
O serviço Google AdWords, que exibe publicidade paga de páginas Web, relacionadas às palavras-chaves de buscas que internautas fazem no Google, voltou a ser usado na aplicação de golpes financeiros pela Internet. Durante todo o último final de semana, os chamados “links patrocinados” exibidos em buscas com palavras como “caseiras”, “amadoras”, “gostosas”, “lesbicas” (sem acento) e “mulheres nuas” levavam a páginas com um trojan projetado para roubar senhas de Internet Banking, hospedado em um servidor chinês.
Clique aqui para entender como são feitos os golpes
De sexta-feira à noite até a manhã de segunda-feira ainda era possível acessar os links maliciosos usando as palavras-chaves citadas (clique nos links das palavras acima para ver imagens das buscas). O link patrocinado, que aparecia em primeiro lugar, era de um site falso com o nome de “Sexy Hot”. Quem clicasse no link, seria levado a uma página (http://renda.qda.gov.cn/PlayBoyBrasil/index.html) hospedada num servidor do governo chinês (certamente com brechas de segurança). Essa página, que ainda estava no ar no momento de publicação desta reportagem, é uma cópia do verdadeiro site “Sexy Hot”, registrado sob o domínio sexyhot.com.br e pertencente à Globosat Programadora LTDA, TV por assinatura da Rede Globo.
Para entrar no site verdadeiro é preciso aceitar os termos de serviço, e os golpistas aproveitaram essa situação para relacionar o trojan ao link do botão “aceito”, que existe na página. O arquivo malicioso, de nome “sandrinha.scr” e ícone imitando o “coelhinho da Playboy”, permanece hospedado em http://www.giaa.com.cn/llbbs/HDLabSkin/SinoSba/PlayBoy/sandrinha.scr.
O nome “sandrinha.scr” refere-se ao golpe que estava no ar até sexta-feira de manhã e que, depois de denunciado, foi retirado do ar pela equipe do Google. Nesse golpe, o nome do site malicioso era “Sandrinha" e o endereço aparente, www.sandrinha.com.br, é de outro site que existe de fato e foi usado como isca para os golpes (veja cópias de um exemplo de busca e do site fraudulento).
Apenas algumas horas depois que o “scam da Sandrinha” foi removido do Google AdWords, os golpistas providenciaram outras páginas nos mesmos endereços, com o mesmo trojan, e modificaram apenas o nome do link patrocinado, que continuou vinculado às mesmas palavras-chaves, permanecendo todo o final de semana no ar.
Submetido a análise no site VirusTotal.com, o arquivo “sandrinha.scr” foi identificado como Trojan-Spy.Win32.Banker.ahy. Segundo descrições da empresa antivírus russa Kaspersky, esse programa faz parte da família dos “trojan spies” (cavalos-de-tróia espiões), usados freqüentemente para roubar informações bancárias e financeiras em fraudes online. Tais programas rastreiam e gravam as atividades das vítimas e encaminham as informações para os golpistas, normalmente por e-mail ou FTP (Protocolo para Transferência de Arquivos). Entre os dados coletados pelo trojan estão teclas digitadas, cópias de telas acessadas no computador, logs (registros) de atividades de aplicativos, e outros.
É interessante notar ainda que, a exemplo do que tem se observado, boa parte dos softwares antivírus mais populares e conceituados do mercado não detectaram nenhum código malicioso no arquivo, como se vê nesta imagem da análise feita no VirusTotal.com, no domingo, dia 5, quando o golpe ainda estava ativo.
Para engendrar os scams, os fraudadores estão se aproveitando de brechas no serviço do Google e conseguem deixar os links patrocinados maliciosos no ar durante vários dias, sob os auspícios do mecanismo de busca. Por isso, os golpes podem ter mais eficiência do que quando enviados via spam, pois o fato de os links serem exibidos pelo Google transmite-lhes maior credibilidade, aumentando as chances de os internautas se interessarem por clicar neles. As palavras-chaves nem sempre estão relacionadas a sexo. Já foram encontrados trojans em buscas como o do vídeo de lançamento do Windows 95.
O serviço Google AdWords, que exibe publicidade paga de páginas Web, relacionadas às palavras-chaves de buscas que internautas fazem no Google, voltou a ser usado na aplicação de golpes financeiros pela Internet. Durante todo o último final de semana, os chamados “links patrocinados” exibidos em buscas com palavras como “caseiras”, “amadoras”, “gostosas”, “lesbicas” (sem acento) e “mulheres nuas” levavam a páginas com um trojan projetado para roubar senhas de Internet Banking, hospedado em um servidor chinês.
Clique aqui para entender como são feitos os golpes
De sexta-feira à noite até a manhã de segunda-feira ainda era possível acessar os links maliciosos usando as palavras-chaves citadas (clique nos links das palavras acima para ver imagens das buscas). O link patrocinado, que aparecia em primeiro lugar, era de um site falso com o nome de “Sexy Hot”. Quem clicasse no link, seria levado a uma página (http://renda.qda.gov.cn/PlayBoyBrasil/index.html) hospedada num servidor do governo chinês (certamente com brechas de segurança). Essa página, que ainda estava no ar no momento de publicação desta reportagem, é uma cópia do verdadeiro site “Sexy Hot”, registrado sob o domínio sexyhot.com.br e pertencente à Globosat Programadora LTDA, TV por assinatura da Rede Globo.
Para entrar no site verdadeiro é preciso aceitar os termos de serviço, e os golpistas aproveitaram essa situação para relacionar o trojan ao link do botão “aceito”, que existe na página. O arquivo malicioso, de nome “sandrinha.scr” e ícone imitando o “coelhinho da Playboy”, permanece hospedado em http://www.giaa.com.cn/llbbs/HDLabSkin/SinoSba/PlayBoy/sandrinha.scr.
O nome “sandrinha.scr” refere-se ao golpe que estava no ar até sexta-feira de manhã e que, depois de denunciado, foi retirado do ar pela equipe do Google. Nesse golpe, o nome do site malicioso era “Sandrinha" e o endereço aparente, www.sandrinha.com.br, é de outro site que existe de fato e foi usado como isca para os golpes (veja cópias de um exemplo de busca e do site fraudulento).
Apenas algumas horas depois que o “scam da Sandrinha” foi removido do Google AdWords, os golpistas providenciaram outras páginas nos mesmos endereços, com o mesmo trojan, e modificaram apenas o nome do link patrocinado, que continuou vinculado às mesmas palavras-chaves, permanecendo todo o final de semana no ar.
Submetido a análise no site VirusTotal.com, o arquivo “sandrinha.scr” foi identificado como Trojan-Spy.Win32.Banker.ahy. Segundo descrições da empresa antivírus russa Kaspersky, esse programa faz parte da família dos “trojan spies” (cavalos-de-tróia espiões), usados freqüentemente para roubar informações bancárias e financeiras em fraudes online. Tais programas rastreiam e gravam as atividades das vítimas e encaminham as informações para os golpistas, normalmente por e-mail ou FTP (Protocolo para Transferência de Arquivos). Entre os dados coletados pelo trojan estão teclas digitadas, cópias de telas acessadas no computador, logs (registros) de atividades de aplicativos, e outros.
É interessante notar ainda que, a exemplo do que tem se observado, boa parte dos softwares antivírus mais populares e conceituados do mercado não detectaram nenhum código malicioso no arquivo, como se vê nesta imagem da análise feita no VirusTotal.com, no domingo, dia 5, quando o golpe ainda estava ativo.
Para engendrar os scams, os fraudadores estão se aproveitando de brechas no serviço do Google e conseguem deixar os links patrocinados maliciosos no ar durante vários dias, sob os auspícios do mecanismo de busca. Por isso, os golpes podem ter mais eficiência do que quando enviados via spam, pois o fato de os links serem exibidos pelo Google transmite-lhes maior credibilidade, aumentando as chances de os internautas se interessarem por clicar neles. As palavras-chaves nem sempre estão relacionadas a sexo. Já foram encontrados trojans em buscas como o do vídeo de lançamento do Windows 95.
Fonte:
Infoguerra
URL Fonte: http://www.totalsecurity.com.br/noticia/1100/visualizar/
Comentários