Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus


9, dezembro, 2013

Infecções via Facebook: você vai me curtir?

FB_meme“Quem não deseja ser curtido na sua página do Facebook?” Esta é a motivação de um código muito trivial para obter mais “curtir”, mas enquanto outros métodos geralmente se limitam a acrescentar conteúdo ou propaganda, este é mais simples… e muito mais sujo. Por que não mostrar um botão curtir diretamente sobre o seu mouse quando você navega em um site, torná-lo invisível e movê-lo junto com o seu mouse?

A única coisa que a vítima tem que fazer é clicar. Se elas estiveram logadas no Facebook, curtirão automaticamente a página do Facebook. E, naturalmente, não é apenas o número de curtições que está em jogo, mas cada curtir significa que a vítima irá receber todas as informações sobre esta página no seu feed de notícias (até que elas descurtam a página), e todos os seus amigos também verão que você curtiu a página.

FB_clickjack_Like_ButtonEste método é possível devido ao botão Curtir, um plugin social para o Facebook, desenvolvido pelo próprio Facebook. Ele é utilizado corretamente em muitos sites legítimos, mas quando combinado com o ocultamento CSS e a movimentação do JavaScript, a vítima não tem chance. Se você deseja saber como minimizar o impacto destas táticas ou quer mais detalhes técnicos, continue lendo.

No começo, um elemento envoltório (wrapper) é criado. Nele há um link (às vezes, um iframe) para o botão curtir do Facebook.

FB_clickjack_HTML

Quando você move o seu mouse sobre o elemento <div id=”wrapper”> (que é, na maioria dos casos, o <corpo> de um tag), uma função JavaScript anônima é iniciada, e ela altera move o elemento para baixo do seu mouse.

FB_clickjack_JS

O envoltório com o botão curtir é, como é lógico, tornado transparente por estas propriedades CSS, por isso ele fica invisível para você:

  • opacity: 0;
  • filter: alpha(opacity = 0);
  • -ms-filter: ‘progid:DXImageTransform.Microsoft.Alpha(Opacity=0)’;

Aqui está o que você vê em uma das amostras da infecção que está disseminada na internet:

FB_clickjack_orig

Estamos surpresos de ver que ela utiliza pouco obfuscamento, o código é muito legível e quase autoexplicativo: contém funções como ClickJackFBShow();. É provável que o código se torne mais obfuscado e mais e mais antivírus comecem a detectar este código malicioso no futuro.

É provável que esta técnica seja utilizada junto com outras de engenharia social. Os cibercriminosos podem postar links para kits infectados em feeds de notícias de outras pessoas e convencer as vítimas a clicar neles. Contudo, o que vemos atualmente é somente um grande grupo de adolescentes utilizando este código nos seus sites para chamar a atenção no Facebook.

Para se livrar destas propagandas indesejadas, abra o seu Facebook e clique no seu nome na parte superior direita, depois selecione “Registro de atividades”. FB_clickjack_Profile_PageEntão você poderá ver a sua atividade no Facebook. Se houver algo suspeito, algo que você não clicou realmente em curtir, simplesmente clique em Curtir (desfazer) e você não será mais incomodado.

O avast! detecta este comportamento malicioso como JS:Clickjack-*.

Amostras no Virustotal:

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Social Media, Virus Lab Tags:
Os comentários estão fechados.