ESET A anatomia de um ataque

Seguindo nosso post “Botnet Poker Agent, roubou 16.000 contas do Facebook” Citamos o seguinte texto de zougla.gr

Um novo vírus da categoria “fraude social” Cavalo de Tróia, que conseguiu roubar informações de login de mais de 16.000 contas de usuário do Facebook, foi descoberto pela ESET. O alvo do software malicioso era o roubo de detalhes pessoais de login no Facebook. Além disso, no caso de o usuário vítima do ataque malicioso jogar o jogo Texas HoldEm Poker, o trojan poderia criar um link dos dados com as estatísticas dos usuários do jogo popular e legal, que possui mais de 35 milhões de usuários ativos. De acordo com as estatísticas de detecção da ESET, o malware se espalhou quase exclusivamente para Israel.

trojan facebook

A ESET começou a investigar cavalos de Tróia no início de 2012, mas os usuários de segurança da ESET estão protegidos desde dezembro de 2011, graças a uma investigação preventiva da ameaça. Além disso, como as ameaças foram relatadas apenas em Israel, a ESET havia informado a CERT (Equipe de Resposta a Emergências por Computador) de Israel e as autoridades policiais desde o início de 2012. A investigação foi concluída, a ameaça foi neutralizada e A ESET é capaz de divulgar informações sobre a anatomia do ataque.

O ataque foi baseado no uso de malware para obter credenciais de login do usuário no Facebook, sua pontuação no jogo de pôquer, as informações armazenadas nas configurações do Facebook em relação ao número de cartões de crédito e a capacidade de aumentar o crédito para o Facebook. Texas HoldEm Poker (o jogo tinha um recurso que lhe permitia reabastecer o valor da marca com dinheiro real, digitando os detalhes do seu cartão de crédito ou da conta do PayPal).

Para obter os dados de entrada, um “exército” de 800 computadores foi usado durante o ataque, todos infectados e controlados pelo invasor, executando comandos do servidor C&C (Command & Control). Os computadores infectados foram instruídos a fazer login nas contas do Facebook do usuário e obter sua pontuação no Texas HoldEm, além dos detalhes do cartão de crédito.

Caso o usuário não tenha um cartão de crédito ou tenha uma pontuação baixa, o computador infectado foi instruído a infectar o perfil do Facebook da vítima com um link que levava a um site de phishing que induziu direta ou indiretamente os amigos do usuário a visitar uma site que parecia a página inicial do Facebook. Se eles colocarem suas credenciais de login nessa página, eles também serão infectados.

A ESET estima que o ataque obteve acesso a 16.194 registros de contas, mas observa que qualquer aplicativo do Facebook pode ser infectado dessa maneira, não apenas o Texas HoldEm Poker.

“Não basta ser uma boa solução de segurança para se proteger de ataques baseados em métodos de fraude social, também precisamos ter cuidado com esses truques”, disse Róbert Lipovský, líder da equipe de inteligência de segurança da ESET, acrescentando: ” o usuário pode identificar a página falsa do Facebook se verificar o URL do site “.

O número de ameaças que aparecem no Facebook está crescendo rapidamente. Por esse motivo, a ESET possui um novo aplicativo de segurança gratuito, o ESET “Social Media Scanner” (http://www.eset.com/gr/social-media-scanner/), que pode detectar links maliciosos e conteúdo de phishing no perfil do usuário e na linha do tempo do Facebook de seus amigos.

Mais Informações:

http://blog.eset.com/2013/01/29/pokeragent-stealing-over-16000-facebook-credentials