Conversores gratuitos de Youtube para mp3 – com malware como bônus

Quer tocar faixas de áudio do Youtube no seu iPod mas não deseja pagar pelo aplicativo? Você não está sozinho. Recentemente, surgiram alguns sites prometendo converter áudio de vídeos para arquivos mp3 que você pode baixar sem custo. Parece ótimo, não? O golpe: scammers estão tentando capturar o alto tráfego de usuários e direcioná-lo a sites de scam, onde você pode acabar sendo vítima de malware e outras coisas desagradáveis como bônus.

Então, o que acontece se você cair em um golpe deste tipo? Abaixo, demonstramos um caso que acompanhamos, com capturas de tela de todo o processo.

Neste exemplo, eu cliquei em um resultado de busca bem posicionado no Google, que direcionava a um vídeo no próprio Youtube dando supostas instruções para converter os vídeos do site para mp3s. Ao clicar, ele demonstrou uma captura de tela dentro do próprio player de vídeo, me instruindo a acessar um site diretamente. A descrição do vídeo veio completamente cheia de palavras-chave para impulsionar o posicionamento. Aqui está uma captura de tela do que me foi apresentado:

Quando digitei no browser a URL recomendada pelo “vídeo”, fui levado a um site altamente carregado de javascript (que meu browser bloqueou através de um plugin), conteúdo de terceiros e anúncios me dizendo para pegar meu “cartão presente de US$ 500” – o que também liberaria o download do conversor de vídeo para mp3. Como eu adoraria ganhar um cartão presente de US$ 500, cliquei no link.

E então uma tela mostra o suposto arquivo com download bloqueado, que eu teria que desbloquear.

Eu escolhi a oferta de cartão presente da Best Buy. Quando cliquei no link, fui direcionado a uma página que me mostrava que poderia ganhar um cartão de US$ 1.000 – melhor ainda!

Eu também notei que a página queria usar bastante javascript e conteúdo de terceiros, gerando uma notificação de segurança do ESET Smart Security, informando que o site foi bloqueado por tentar enviar cookies de rastreamento. Também notei que o site usava significativo tráfego de Internet ao tentar baixar todos seus componentes. Após ter respondido a última pergunta, eu fui sido solicitado a inserir meu e-mail para receber o cartão presente. Quando inseri um e-mail falso, eu fui levado a uma tela onde teria que inserir ainda mais informações pessoais, incluindo meu endereço físico, idade, sexo, e número de telefone. Eu também teria de concordar em ser contatado por empresas terceiras sobre assinaturas de revistas, etc.

Clicando em “Continue”, passamos para a seguinte tela:

Nesse ponto, eu notei que a senha original que seria liberada para que eu pudesse destravar o arquivo mp3 convertido do vídeo não foi mais mencionada. Parecia que a trilha que eu vinha seguindo não estava perto de terminar, e então eu fechei todos os sites e escrevi esse artigo, contando com que esse relato impeça outras pessoas de caírem em golpes semelhantes.

Mas qual é o prêmio dos scammers? Eles costumam adaptar continuamente suas plataformas de golpes para fazer novas vítimas, e esse caso não é exceção. Ao ganhar altos posicionamentos nas buscas através de técnicas de BlackHat SEO (BHSEO), sempre que um usuário clica nos links, seu posicionamento no ranking de popularidade, e o lucro associado, sobe. Mesmo que o usuário não caia na história do “conversor para mp3 gratuito” (recheado de malware), o site de scam ainda consegue gerar lucro simplesmente pelo tráfego.

E muitos usuários acreditam ter feito download de um player baseado em java, levando malware como bônus.

Recapitulando, esse scam (até o momento) tentou enviar conteúdo bloqueado pelo ESET Smart Security, executar ocultamente javascript em diversas páginas, coletar meu endereço de e-mail e dados pessoais, e me fazer confirmar que tenho mais de 18 anos, consentindo com todo o processo. Isso não soa muito como “gratuito”, e parece o começo de uma longa cadeia de atividade má intencionada. No final das contas, optei por adquirir uma música de uma loja virtual de mp3 confiável, deixando de lado a coleta de informações pessoais “gratuita”.

Cameron Camp
Security Researcher – ESET USA

Categories: Black Hat SEO, Engenharia Social, Phishing
1 Comment »

Em várias oportunidades, falamos em nosso blog de diferentes casos de phishing. Além disso, analisamos um caso que utilizava uma tecnologia conhecida como geolocalização, que permite determinar a partir de que país a vítima em potencial está acessando. Há um novo caso de phishing sobre uma conhecida companhia aérea que está afetando usuários brasileiros, e que utiliza justamente essa técnica.

Esse site de phishing em particular implementa a geolocalização como mecanismo para impedir o acesso de usuários que estejam fora do Brasil. Dessa forma, fica mais difícil detectar esses sites fraudulentos, além de indicar os usuários que realmente são de importância para o criminoso virtual. A tela abaixo mostra a mensagem de “proibido” que aparece quando o usuário se encontra fora do país:

Devido a esse tipo de limitação, conseguimos acessar o site utilizando um proxy do Brasil para poder driblar a proteção e ter acesso ao próprio site malicioso. A tela abaixo mostra sua entrada:

Há uma série de fatores que chamam a atenção. Em primeiro lugar, o site conta com um painel de busca de voos, que dispõe de funcionalidade completa. Em outras palavras, caso seja feita uma busca sobre esse formulário, é feito um redirecionamento ao site original, com os dados inseridos no formulário, e a seguir é executada a própria busca sobre o servidor legítimo. Essa é uma das formas os criminosos utilizam para não despertar suspeitas no usuário. O formulário pode ser visto na imagem a seguir:

Contudo, a finalidade deste site falso se encontra no formulário em que é solicitado ao usuário uma série de dados críticos para poder participar de um suposto sorteio. A seguir, você pode ver uma imagem do formulário:

O suposto concurso promete sortear 200 mil pontos diários que podem ser trocados por produtos e até mesmo voos nacionais e internacionais. Porém, para participar do sorteio, o usuário deve inserir seu “número fidelidade” e a “senha de resgate” (quatro ou cinco dígitos para certificar que é o cliente que utiliza os pontos). Ou seja, com essa informação, o criminoso poderia ter acesso aos pontos que a vítima possui na companhia aérea.

Foi feita uma análise do tráfego gerado para determinar que ações este site de phishing realiza assim que os dados requeridos são informados para o suposto sorteio. Especificamente, é feita a conexão a outro servidor remoto onde a informação é processada a partir de um arquivo PHP embutido. Possivelmente a informação será coletada e armazenada de alguma forma para que seja utilizada posteriormente pelos criminosos. Na imagem a seguir, você pode observar a informação do tráfego de rede:

Ao acessar o servidor, especificamente a pasta log lista três arquivos PHP. Esses arquivos podem ser utilizados para processar a informação roubada através de diferentes campanhas. A imagem a seguir mostra os arquivos mencionados:

Essa campanha combina, então, métodos de geolocalização e redirecionamento ao site legítimo para poder preservar por mais tempo o site de phishing online. Dessa forma, o criminoso se assegura de obter os dados dos usuários que realmente são de seu interesse e minimiza a possibilidade de ser detectado. Por esse tipo de situação, é recomendável contar com alguma solução de software com capacidade de detecção proativa que permita estar protegido contra esse tipo de ameaça. Além disso, a educação é um pilar fundamental que o usuário deve considerar para completar sua segurança.

Fernando Catoira
Analista de Segurança

Categories: Phishing
No Comments »

Em diversas ocasiões discutimos e analisamos diferentes casos de phishing que têm afetado uma ampla gama de instituições financeiras, companhias aéreas, cartões de crédito e redes sociais. Contudo, o phishing que encontramos dessa vez ainda não se diferencia de outros por seu objetivo ou entidade afetada (um importante banco brasileiro), mas marca uma nova tendência nesse tipo de ataque ao ser geolocalizado, ou seja, somente pode ser acessado a partir de computadores que estejam no Brasil (utilizando um endereço IP desse país) ou um servidor proxy do mesmo país. Qualquer acesso que seja feito a partir de outra parte do mundo é negado e não é exibido o phishing, mas sim uma mensagem de proibição.

Para alcançar esse objetivo, os criminosos virtuais empregam uma tecnologia conhecida como geolocalização, técnica que permite detectar o país de origem da visita para permitir ou negar o acesso, dependendo do critério estabelecido. Nas telas a seguir, podemos ver o que ocorre quando se tenta acessar o phishing a partir do Brasil e, em seguida, a partir de outro país qualquer.

Através da geolocalização, os criminosos são capazes de cumprir dois objetivos que, de outra maneira, seria impossível. Primeiramente, maximizam a possibilidade de obter lucro ao garantir que somente as pessoas pertencentes ao grupo-alvo do ataque (neste caso, usuários brasileiros) possam acessar o site fraudulento. O motivo desta implementação está no fato de usuários de outros países não representarem nenhum tipo de lucro, porque, além de falarem outro idioma, não terão uma conta bancária no Brasil. Além disso, quanto mais pessoas visualizem a fraude, maior é a chance de que o site seja tirado do ar por excesso de consumo de banda do servidor no qual o phishing está alojado, ou porque alguém realiza uma denúncia.

Se a vítima em potencial for brasileira e não tomar os cuidados necessários para a prevenção, como não visitar links suspeitos, nem inserir informações confidenciais ou bancárias, estará acessando um golpe de phishing que, sem considerar a geolocalização, acaba sendo bastante normal com relação a outros. Em primeiro lugar, são solicitados dados como o número da conta e a senha de oito dígitos. Em seguida, uma senha de cartão de seis dígitos e para finalizar, outra de quatro dígitos. Finalmente, se diz à vítima que o processo foi concluído satisfatoriamente e que, a partir desse momento, poderá (ironicamente) utilizar novas funções de segurança.

Para evitar ser vítima desse tipo de ataque, devemos lembrar sempre que nenhuma instituição bancária ou similar solicita informações sensíveis através de meios como e-mail ou redes sociais, não importando o motivo ou a desculpa dada. Por último, mencionar que os cibercriminosos estão buscando, de forma contínua e ativa, novas ideias e estratégias com o objetivo de maximizar a quantidade de vítimas e assim obter maiores ganhos ilícitos. Um comportamento seguro e adequado na Internet permite reverter essa tendência.

André Goujon
Especialista de Awareness & Research

Categories: Alertas, Phishing
1 Comment »

Esta semana recebemos no Laboratório da ESET América Latina uma amostra de um trojan detectado pelo ESET NOD32 Antivirus como BAT/Agent.NLF Trojan. A ameaça se propaga através de um e-mail contendo um suposto vídeo do namorado de uma das integrantes do programa Big Brother Brasil 2012, tentando persuadir os usuários a baixarem um arquivo. Após realizarmos uma análise mais profunda, pudemos observar que o comportamento mudou a respeito das ações efetuadas no golpe:

Como primeiro passo, imediatamente depois de executar a ameaça, é aberta uma janela do navegador, acessando um popular site de vídeos online. Contudo, isso não é mais que uma distração, já que o malware está executando operações em segundo plano, sem que o usuário veja.

Analisando as mudanças que são feitas no sistema, é possível ver que várias entradas de registro foram alteradas, porém o que mais chama a atenção é a mudança nas entradas de registro correspondentes aos diferentes navegadores instalados no sistema operacional. A alteração dessas entradas tem como finalidade, cada vez que o navegador é iniciado, seja baixado um arquivo com extensão TXT a partir de um site remoto, que contém código  oculto para evitar ser detectado, e que permite comparar os endereços URL que o usuário acessa com uma lista armazenada no referente código.

Desta maneira, se o usuário acessa uma URL que se encontra listada no arquivo de texto, é redirecionado a um site de phishing relacionado à URL acessada. Dessa maneira, o trojan não realiza pharming local como fazem muitos outros, mas utiliza um site remoto como proxy para redirecionar o usuário a determinados sites de phishing de acordo com os sites que o usuário acessa dentro da lista contida no arquivo de texto baixado:

Essas operações tem como finalidade o roubo de credenciais de múltiplos serviços através do mesmo malware. Isto inclui serviços de e-mail muito populares, como também o roubo de credenciais de home banking de diferentes entidades bancárias de renome, dentre outros.

Na imagem anterior, podemos ver a inserção de credenciais de acesso a um serviço popular de e-mail (na verdade um site de phishing). Os dados serão roubados e armazenados no servidor malicioso como mostra a imagem a seguir:

Outro ponto que vale a pena destacar é que através desta técnica os cibercriminosos por trás desse código malicioso podem modificar o arquivo de texto baixado e atualizá-lo com novos sites e campanhas para expandir o roubo de credenciais a outros serviços, sem que o usuário seja infectado com algum outro tipo de malware.

Finalmente, aconselhamos ao usuário que conte com uma solução antivírus com capacidade de detecção proativa para poder se proteger contra este tipo de ameaça, assim como também bloquear as URLS pertencentes a servidores maliciosos.

Fernando Catoira
Analista de Segurança

Categories: Análise de malware, Phishing
No Comments »

A engenharia social sem dúvida é um dos métodos mais eficazes para os cibercriminosos  obterem lucro com a manipulação dos usuários desprevenidos para que executem algum código malicioso. Ou ainda, como no caso que iremos abordar neste post, que entreguem todas as informações de seu cartão de crédito, como seu número completo, data de expiração, código de segurança, nome e sobrenome do titular e número de CPF.

Mediante a falsa promessa sobre um concurso associado à marca do cartão de crédito, os criminosos atraem a vítima em potencial para que entregue as informações citadas anteriormente, tudo através de três passos para não levantar suspeitas. Primeiramente, solicitam os primeiros seis dígitos do cartão de crédito. Em seguida, os outros dígitos restantes e mais dados como data de expiração e código de segurança. Finalmente, a vítima é levada a inserir seu CPF. Uma vez completadas as etapas da fraude, o usuário recebe uma confirmação de registro para o suposto concurso, incluindo um número falso como forma de passar ideia de legitimidade ao processo.

A seguir, mostramos as três etapas em que é solicitado ao usuário que insira seus dados e a quarta que afirma que o registro foi realizado com sucesso:

Ainda que para muitos usuários mais bem informados e precavidos este tipo de phishing, em que se solicita uma grande quantidade de informação sensível de forma tão direta, possa parecer absurdo, fraudes similares aparecem diariamente. Isso indica que a prática continua sendo uma tática bem sucedida, considerado que, geralmente, esse tipo de e-mail é propagado massivamente para aumentar a probabilidade de que vários usuários se tornem vítimas.

Se algum usuário chega a entregar informações bancárias sensíveis como dados de cartão de crédito, credenciais de acesso para trâmites financeiros, entre outros dados, ele deve contatar sua instituição financeira imediatamente para bloquear o cartão e mudar as senhas. Uma forma simples de prevenir ataques de phishing como este é lembrar-se que jamais um banco ou instituição séria irá pedir informações comprometedoras através de e-mail, redes sociais ou qualquer meio similar, não importa o motivo alegado. Geralmente os criminosos virtuais recorrem à tática do scareware, ou seja, amedrontam o usuário para que ele entregue informações que não entregaria de outra maneira, ou ainda oferecem prêmios ou algo tentador em troca. Com base nisso, é imprescindível acessar o site do banco escrevendo o endereço correto diretamente na barra de navegação, e não seguir links.

Por outro lado, uma conduta precavida e informada somada à implementação de uma solução antivírus com capacidade de detecção proativa diminuirá consideravelmente o risco de que uma pessoa seja afetada por alguma ameaça digital.

André Goujon
Especialista de Awareness & Research

Categories: Phishing
No Comments »