A Kaspersky Lab descobriu um ataque de malware que enganou cerca de 10 mil utilizadores do Facebook em todo o mundo, infetando os seus dispositivos após a receção de uma mensagem de um amigo pedindo que o marcasse no Facebook. Os dispositivos comprometidos foram então usados para sequestrar as contas desta rede social, com o objetivo de propagar a infeção através dos amigos da vítima e de permitir outras atividades maliciosas. Portugal, Brasil, Polónia, Perú, Colômbia, México, Equador, Grécia, Tunísia, Venezuela, Alemanha e Israel foram os países mais afetados.

Entre os dias 24 e 27 de junho, milhares de utilizadores receberam uma mensagem de um amigo no Facebook, pedindo-lhes que o mencionassem num comentário. A cadeia foi iniciada por cibercriminosos e consistiu num ataque de duas etapas. A primeira etapa descarregava e instalava um Trojan no computador do utilizador e uma extensão maliciosa do Chrome, entre outras coisas. Isto permitiu que, na segunda etapa, o controlo da conta do Facebook da vítima fosse tomado pelos hackers ao voltar a iniciar sessão através do browser comprometido.

Um ataque bem-sucedido permitia alterar a configuração de privacidade, extrair dados e muito mais, o que fez com que a infeção se propagasse através da rede de amigos do Facebook da vítima, e que os seus autores levassem a cabo outras atividades maliciosas, como spam, roubo de identidade e a geração fraudulenta de ‘gostos’ ou partilhas. O malware tratou de se proteger a si mesmo do acesso às listas negras de centenas de websites, como os dos fabricantes de software de segurança.

As pessoas que utilizam equipamentos baseados em Windows para aceder ao Facebook foram as mais atacadas. Os utilizadores com dispositivos móveis Android e iOS estavam imunes, já que o malware utiliza bibliotecas que não são compatíveis com estes sistemas operativos móveis.

O Trojan utilizado pelos atacantes não é novo. Há já um ano que surgiram notícias sobre ele, quando recorreu a um processo de infeção similar. Em ambos os casos, os indícios da linguagem do malware parecem apontar para criminosos de idioma turco.

O Facebook já mitigou esta ameaça e bloqueou as técnicas usadas para propagar malware a partir de equipamentos afetados. A Google também já eliminou pelo menos uma das extensões más do da Chrome Web Store.

“Dois aspetos a destacar deste ataque: em primeiro lugar, a distribuição do malware era extremamente eficiente, chegando a milhares de utilizadores em apenas 48 horas. Em segundo lugar, a resposta dos utilizadores e meios de comunicação foi muito rápida. Esta reação aumentou a consciencialização sobre a campanha e fez com que os analistas o descobrissem rapidamente”, afirma Ido Naor, analista principal da Kaspersky Lab.

Os utilizadores que pensem poder estar infetados devem fazer uma verificação de malware ao seu computador ou abrir o Chrome e procurar extensões suspeitas. Se existirem, devem terminar a sessão da conta do Facebook, fechar o browser e desligar a rede do computador. Devem ter uma solução de segurança que analise o equipamento e verifique, limpe e elimine o malware.

Além disso, a Kaspersky Lab recomenda a todos os utilizadores que sigam as seguintes medidas de segurança:

• Instalar uma solução antimalware em todos os dispositivos e manter o software do sistema operativo atualizado.
• Evitar clicar em links de mensagens de desconhecidos ou mensagens inesperadas de amigos.
• Ter sempre cuidado quando está online e em redes sociais: se algo parecer um pouco suspeito, provavelmente representa perigo.
• Implementar a configuração de privacidade adequada em redes sociais como o Facebook.
Os produtos da Kaspersky Lab detetam e bloqueiam a ameaça.

Mais informações sobre o processo de ataque, como saber se está infetado e o que deves fazer: https://securelist.com/blog/incidents/75237/facebook-malware-tag-me-if-you-can/

Acompanhe ao minuto as últimas noticias de tecnologia. Siga-nos no Facebook, Twitter, Instagram! Quer falar connosco? Envie um email para geral@leak.pt.