"Quem não deseja ser curtido na sua página do Facebook?" Esta é a motivação de um código muito trivial para obter mais "curtir", mas enquanto outros métodos geralmente se limitam a acrescentar conteúdo ou propaganda, este é mais simples... e muito mais sujo. Por que não mostrar um botão curtir diretamente sobre o seu mouse quando você navega em um site, torná-lo invisível e movê-lo junto com o seu mouse?
A única coisa que a vítima tem que fazer é clicar. Se elas estiveram logadas no Facebook, curtirão automaticamente a página do Facebook. E, naturalmente, não é apenas o número de curtições que está em jogo, mas cada curtir significa que a vítima irá receber todas as informações sobre esta página no seu feed de notícias (até que elas descurtam a página), e todos os seus amigos também verão que você curtiu a página.
Este método é possível devido ao botão Curtir, um plugin social para o Facebook, desenvolvido pelo próprio Facebook. Ele é utilizado corretamente em muitos sites legítimos, mas quando combinado com o ocultamento CSS e a movimentação do JavaScript, a vítima não tem chance. Se você deseja saber como minimizar o impacto destas táticas ou quer mais detalhes técnicos, continue lendo.
No começo, um elemento envoltório (wrapper) é criado. Nele há um link (às vezes, um iframe) para o botão curtir do Facebook.
Quando você move o seu mouse sobre o elemento <div id="wrapper"> (que é, na maioria dos casos, o <corpo> de um tag), uma função JavaScript anônima é iniciada, e ela altera move o elemento para baixo do seu mouse.
O envoltório com o botão curtir é, como é lógico, tornado transparente por estas propriedades CSS, por isso ele fica invisível para você:
- opacity: 0;
- filter: alpha(opacity = 0);
- -ms-filter: 'progid:DXImageTransform.Microsoft.Alpha(Opacity=0)';
Aqui está o que você vê em uma das amostras da infecção que está disseminada na internet:
Estamos surpresos de ver que ela utiliza pouco obfuscamento, o código é muito legível e quase autoexplicativo: contém funções como ClickJackFBShow();. É provável que o código se torne mais obfuscado e mais e mais antivírus comecem a detectar este código malicioso no futuro.
É provável que esta técnica seja utilizada junto com outras de engenharia social. Os cibercriminosos podem postar links para kits infectados em feeds de notícias de outras pessoas e convencer as vítimas a clicar neles. Contudo, o que vemos atualmente é somente um grande grupo de adolescentes utilizando este código nos seus sites para chamar a atenção no Facebook.
Para se livrar destas propagandas indesejadas, abra o seu Facebook e clique no seu nome na parte superior direita, depois selecione "Registro de atividades". Então você poderá ver a sua atividade no Facebook. Se houver algo suspeito, algo que você não clicou realmente em curtir, simplesmente clique em Curtir (desfazer) e você não será mais incomodado.
O avast! detecta este comportamento malicioso como JS:Clickjack-*.
Amostras no Virustotal:
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.