Por Cleiton Pinheiro e Leonardo Carvalho

Criminosos estão usando recursos de web advertising de redes sociais e de ferramentas de busca para criar campanhas de phishing direcionado de baixo custo contra alvos específicos. A descoberta é resultado de uma pesquisa que vem sendo conduzida no El Pescador desde 2016.

Web Advertising, também conhecido como online advertising é uma “forma de marketing que usa a internet para entregar campanhas de marketing para consumidores”. Trata-se de um recurso poderoso pelo seu custo relativamente baixo (quando comparado com outras técnicas de marketing tradicional) e por permitir a segmentação de mercado de forma razoavelmente simples.

Atentos a essas características grupos de fraudadores viram uma oportunidade de disseminar seus malwares em grande escala, entregando-os através de campanhas direcionadas a alvos específicos selecionados a partir de seus interesses, idades, países e outros dados demográficos.

No último mês de agosto, detectamos um ataque direcionado usando a ferramenta de promoção de posts do Facebook. O ataque destaca-se pela sofisticada combinação de técnicas usadas, entre as quais estão o typosquatting, a criação de páginas, criação de campanhas publicitárias e filtragem de alvos por interesse.

O ataque começou com a criação de duas páginas falsas simulando as fanpages de dois veículos de comunicação brasileiros de grande notoriedade e circulação — os jornais Folha de S. Paulo e O Globo.

Fig. 1 e 2: Páginas falsas criadas pelo atacante no Facebook. Apesar de não postarem qualquer notícia, as páginas “Agora o Globo” e “Folhadesp” contam com um número expressivo de curtidas (3635 e 1426 respectivamente), o que mostra a eficácia da técnica.

Depois de criar as páginas, o atacante elaborou os posts que seriam usados nas campanhas. Os textos dão a entender que o leitor encontrará informações sobre a malha fina do IR.

Fig. 3 e 4: Posts falsos para disseminação de malware

Finalmente, o agente passou à criação da campanha. Nela foram usados os filtros para atingir alvos com interesses específicos de forma a selecionar o público-alvo — no caso encontrado foram usadas as expressões “Receita Federal”, “Imposto de Renda”, “Declaração Imposto” e “Malha Fina”. As figuras 4 e 5 mostram como a ferramenta de criação de campanhas do Facebook permite não só atingir os públicos específicos com bastante precisão, mas também excluir da campanha perfis que teriam maiores condições de detectá-la como pessoas com interesse em segurança da informação e serviços de TI.

Fig. 4 e 5: Exemplo de criação de campanha com seleção e exclusão de perfis específicos

Destaca-se ainda que, diferentemente de campanhas de phishing que usam e-mails, a técnica de advertising depende de um investimento muito menor — no exemplo, o custo da campanha ficou pouco acima dos R$ 17 por dia. Além disso, o atacante não será afetado por ferramentas anti-spam e terá total liberdade para alterar a URL de infecção a qualquer momento, mesmo durante a disseminação da campanha.

Infecção

Segundo apurado no estudo, os links patrocinados contém URLs encurtadas em serviços como bit.ly e goo.gl. Após clicar no link a vítima é direcionada para uma página que, por sua vez, faz o redirecionamento para uma URL do Google Drive, de onde é feito o download de um arquivo malicioso compactado (.zip); o malware é instalado após a vítima extrair e executar o mesmo — no artigo publicado no blog do El Pescador em 2016 denunciamos o uso de servidores do Facebook em campanhas de phishing. Estimamos que, neste caso, o uso de servidores do Google (Google Drive) se dê pelos mesmos motivos: reduzir a possibilidade de detecção por firewalls e programas antivírus e diminuir ainda mais os custos de ataque.

O malware encontrado é um arquivo de extensão .vbs. Malwares que usam esta extensão têm como característica principal a tentativa de conexão reversa com servidores de comando e controle (C&C). Uma vez conectado ao computador infectado o criminoso consegue realizar operações como escalação de privilégio, varredura de softwares e aplicativos instalados, e verificação de dispositivos conectados como pendrives — que podem ser infectados com o objetivo de propagar o malware em outros computadores. Apesar disso, verificou-se que o atacante não executa estas funções imediatamente após a instalação, preferindo manter uma conexão persistente.

O estudo identificou ainda o uso de campanhas no AdWords criadas com o mesmo objetivo e usando técnicas similares.

O AdWords é um serviço de publicidade que representa a principal fonte de receita do Google — em 2011 foi o responsável por 96% dos quase US$ 38 bi que a empresa faturou. Através do serviço, usando de palavras-chave e filtros de público, empresas podem fazer com que seus produtos ou serviços sejam exibidos com destaque em mecanismos de busca ou qualquer site parceiro do serviço.

Da mesma forma que no Facebook, criminosos estão usando o serviço como filtro para entregar malware para públicos específicos.

Apesar de ainda não ter sido verificado, não se descarta o uso dos serviços de campanhas pagas de outras redes sociais para a disseminação de phishing.

Segundo o estudo Worldwide Social Network Users da eMarketer Inc., mais de 2,4 bilhões de pessoas já usam redes sociais no mundo. Em 2017, um terço da população mundial fará login pelo menos uma vez por mês em alguma das redes sociais existentes. Os números atestam a relevância do estudo, e a importância de se tomar alguns cuidados.

1. Tenha cuidado com links patrocinados tanto em redes sociais quanto em e-mails e sites busca, especialmente os que usam encurtadores de URL

2. Desconfie de promoções muito vantajosas ou de páginas que você nunca curtiu e que estão aparecendo na sua linha do tempo

3. Não baixe nem abra arquivos de fontes desconhecidas

  1. Acesse a Página que deseja denunciar
  2. Clique abaixo da foto da capa da Página
  3. Selecione Denunciar Página
  4. Selecione a opção que melhor descreva o problema e siga as instruções da tela
  5. Se você não conseguir acessar a Página que deseja denunciar, considere pedir a um amigo que a denuncie.
  1. Clique na parte superior direita da publicação
  2. Clique em Denunciar publicação ou Denunciar foto
  3. Selecione a opção que melhor descreva o problema e siga as instruções da tela

Saiba mais: https://www.facebook.com/help/181495968648557/