Papagaio: a campanha de malware que redireciona vítimas para sites falsos

Avast protegeu os dados de 73.000 brasileiros que seriam usados para um ciberataque personalizado

Pavel Novák e Jan Rubín – pesquisadores do Laboratório de Ameaças da Avast – descobriram um sistema que infectou, até o momento, mais de 16.500 sites, incluindo blogs, sites de universidades e órgãos do governo, além de sites pornográficos.

A campanha chamada Parrot (“papagaio”) porque se replica com nomes diferentes em diversos servidores tentou infectar mais de 600.000 usuários únicos do Avast no período de 1º de março a 29 de março de 2022: 73.000 no Brasil, 55.000 na Índia, 31.000 nos Estados Unidos, além de usuários em Cingapura, Indonésia, Argentina, França, México, Paquistão e Rússia.

imageMapa ilustrando os países-alvo do Parrot TDS (em março de 2022)

O Parrot é um sistema de direcionamento de tráfego (TDS) que se aproveita de sites com falhas de segurança para coletar as seguintes informações:

  • Endereço MAC das placas de rede
  • Fabricante
  • Lista de processos em execução
  • Modelo
  • Nome do computador
  • Nome do domínio
  • Nome do usuário
  • Produtos antivírus e antispyware instalados
  • Versão da BIOS
  • Versão do sistema operacional

De posse desses dados, os cibercriminosos personalizam os ataques e as conexões com os seus servidores, dificultando a sua detecção. As vítimas são redirecionadas para sites falsos muito parecidos aos verdadeiros. Esses sites enviam avisos e mensagens solicitando, por exemplo, a atualização do navegador:

image-6A campanha FakeUpdate é personalizada para cada usuário

Ao baixarem o suposto arquivo de atualização, as vítimas acabam instalando um trojan com o mesmo nome de uma ferramenta do Windows (ctfmon.exe). É ele quem permitirá o acesso remoto completo aos cibercriminosos para roubar senhas e dados digitados no navegador. Muitos dos acessos remotos são efetuados por servidores localizados na China.

image-9 Malware imita o nome de um serviço legítimo da Microsoft (NetSupport)

Os especialistas do Laboratório de Ameaças da Avast realizaram uma análise técnica do Parrot* e do seu processo de infecção, além de várias recomendações de segurança aos proprietários de sites e blogs.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

Photo by Manu on Unsplash

--> -->