Avast protegeu os dados de 73.000 brasileiros que seriam usados para um ciberataque personalizado
Pavel Novák e Jan Rubín – pesquisadores do Laboratório de Ameaças da Avast – descobriram um sistema que infectou, até o momento, mais de 16.500 sites, incluindo blogs, sites de universidades e órgãos do governo, além de sites pornográficos.
A campanha – chamada Parrot (“papagaio”) porque se replica com nomes diferentes em diversos servidores – tentou infectar mais de 600.000 usuários únicos do Avast no período de 1º de março a 29 de março de 2022: 73.000 no Brasil, 55.000 na Índia, 31.000 nos Estados Unidos, além de usuários em Cingapura, Indonésia, Argentina, França, México, Paquistão e Rússia.
Mapa ilustrando os países-alvo do Parrot TDS (em março de 2022)
O Parrot é um sistema de direcionamento de tráfego (TDS) que se aproveita de sites com falhas de segurança para coletar as seguintes informações:
- Endereço MAC das placas de rede
- Fabricante
- Lista de processos em execução
- Modelo
- Nome do computador
- Nome do domínio
- Nome do usuário
- Produtos antivírus e antispyware instalados
- Versão da BIOS
- Versão do sistema operacional
De posse desses dados, os cibercriminosos personalizam os ataques e as conexões com os seus servidores, dificultando a sua detecção. As vítimas são redirecionadas para sites falsos muito parecidos aos verdadeiros. Esses sites enviam avisos e mensagens solicitando, por exemplo, a atualização do navegador:
A campanha FakeUpdate é personalizada para cada usuário
Ao baixarem o suposto arquivo de atualização, as vítimas acabam instalando um trojan com o mesmo nome de uma ferramenta do Windows (ctfmon.exe). É ele quem permitirá o acesso remoto completo aos cibercriminosos para roubar senhas e dados digitados no navegador. Muitos dos acessos remotos são efetuados por servidores localizados na China.
Malware imita o nome de um serviço legítimo da Microsoft (NetSupport)
Os especialistas do Laboratório de Ameaças da Avast realizaram uma análise técnica do Parrot* e do seu processo de infecção, além de várias recomendações de segurança aos proprietários de sites e blogs.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.
Photo by Manu on Unsplash