WORM PARA SKYPE FALA PORTUGUÊS E CONTROLA COMPUTADORES INFECTADOS
Depois da aposentadoria do MSN Messenger, o Skype vem ganhando destaque entre os alvos prediletos dos cibercriminosos. Desde o ano passado a Kaspersky vem registrando diversos ataques de worms usando o programa da Microsoft para disseminar links maliciosos e infectar usuários pelo mundo. Esses ataques tem se tornado regulares depois do o fim do MSN e da adoção massiva do Skype.
Na semana passada uma nova versão do worm divulgado em outubro de 2012 foi encontrada com algumas novidades, que o analista sênior de malware da Kaspersky Lab no Brasil, Fabio Assolini, descreve no artigo publicado hoje no blog da empresa.
Entre os principais destaques, Assolini indica que o worm está preparado para atacar brasileiros ao disseminar as mensagens em um péssimo português e usando muita engenharia social. “O tema da mensagem pode variar, mas sempre irá se referir a uma suposta foto. Para tornar a mensagem menos suspeita, os links poderão ter no final o ID da conta do usuário no Skype, seguido de um emoticon. Outras mensagens podem ainda exibir no final do link uma falsa extensão de arquivo de imagem (jpeg, bmp, gif, etc), com um texto provavelmente traduzido em serviços automatizados, o que prova que sua origem não é brasileira”, explica.
Além da mensagem original “esta é uma foto muito legal da sua parte” outra frase que essa nova versão “fala” é “você olhar hilariante nesta foto”. Para identificar o idioma que será usado na disseminação do golpe, o worm conta com uma função para determinar a localização da vítima e, baseado em um lista de países que agora indica o nome do Brasil, será definida a mensagem que será mostrada em espanhol, russo, inglês, alemão ou português (Brasil), entre outros idiomas.
Os links encurtados enviados pelos perfis infectados direcionam para arquivos hospedados em serviços gratuitos de hospedagem, como o 4shared, Hotfile, ou até mesmo sites legítimos que foram comprometidos e passaram a hospedar o instalador do worm, sempre oferecido em um arquivo .zip. Depois de instalado, visando garantir total acesso aos recursos do programa, o worm irá solicitar ao usuário uma permissão para usar o Skype. Depois de infectado o computador sera controlado por cibercriminosos, baixando outras pragas, especialmente bots, que terão a função de enviar spam, realizar ataques de negação de serviço, etc.
Devido ao fato de disseminar mensagens em várias línguas, o alcance do worm tem sido global. As estatísticas de acesso de um dos link encurtado dá uma noção de seu alcance. Nessa lista aparecem a Rússia e Alemanha nas primeiras posições e Polônia, Ucrânia e Brasil empatados em terceiro nas porcentagens. Pelas estatísticas da Kaspersky Lab, os principais alvos são Rússia, Estados Unidos e países da Europa.
Para os usuários que foram infectados, é importante fazer a verificação utilizando um bom programa antivírus que já identifique as novas versões do worm. A Kaspersky oferece ainda uma ferramenta de limpeza gratuita chamada Kaspersky Virus Removal Tool, basta descarregá-la e fazer uma verificação completa. Depois dessa etapa é importante remover a autorização dos arquivos do worm, para que não tenham mais acesso ao Skype. No programa acesse o menu Ferramentas > Opções > Avançado. Na nova janela acesse a opção “Gerenciar o acesso de outros programas ao Skype”. Na lista, remova todos os itens suspeitos. Após a limpeza também é importante realizar a troca da senha do Skype.
Para mais detalhes técnicos do ataque, acesse o artigo completo em http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/worm-skype.
Ataques futuros
Infelizmente worms como esse se tornarão cada vez mais comuns, dado a popularidade alcançada pelo Skype. Outro fator importante destacado por Assolini é a presença do Skype em diferentes dispositivos e sistemas operacionais, tendo inclusive grande número de usuários em plataformas móveis. Portanto não será surpresa se futuramente os ataques passem a visar os smartphones, em um ataque usando uma versão mobile do worm.
Na disseminação de programas maliciosos como esse, não existem barreiras geográficas nem linguísticas.
As versões conhecidas do worm são detectadas e bloqueadas no sprodutos da Kaspersky Lab como Backdoor.Win32.CPD.
Caso haja necessidade de esclarecimentos, colocamos a disposição para entrevistas Fabio Assolini, analista sênior de malware da empresa.