Ataque usa página falsa do WinRAR para instalar vírus e roubar dados
Por Felipe Demartini • Editado por Wallace Moté |
Apenas semanas após a liberação de domínios com final ZIP e outros similares a formatos conhecidos, já está circulando entre os cibercriminosos um kit que simula janelas do WinRAR e do Windows para realizar ataques. O formato dá origem a golpes que podem envolver o roubo de credenciais ou a contaminação por vírus.
O kit de phishing, batizado de File Archivers in the Browser, faz exatamente o que o nome já diz. A isca para o clique é o fato de links serem criados em conversas de texto ou sites que citem a extensão ZIP, levando os usuários a sites fraudulentos que simulam o processo de descompactação de um arquivo, mas na janela de qualquer navegador.
O roubo de dados ou a instalação de vírus podem acontecer de diferentes formas. O pesquisador em segurança mr.d0x exibiu como um falso arquivo em PDF pode ser utilizado na tela falsa, direcionando o usuário a uma página de login falsa ou baixando instaladores que, quando executados, levam à infecção do PC com malware.
Para aumentar a aparência de legitimidade do golpe, também são simuladas janelas de verificação de segurança, indicando que os arquivos disponíveis na página falsa passaram em testes de checagem de ameaças. Segundo o especialista, apesar de a tela do WinRAR ser bastante similar à legítima, o ataque que envolve o Windows Explorer ainda é rudimentar, sem elementos importantes que poderiam levar à detecção.
Isso sem falar, claro, no fato de uma URL estar sempre à vista e da ideia de que o processo de descompactação de arquivos simplesmente não acontece em um navegador. Ainda assim, a ideia merece um alerta tanto por representar uma nova exploração em andamento, diante da corrida de cibercriminosos pelo registro de domínios fraudulentos ligados às novas extensões, quando pelo alvo preferencial serem os usuários sem muito conhecimento técnico.
Como forma de contornar isso, mr.d0x exibe ainda uma exploração que aconteceria a partir do próprio Windows Explorer. Com um e-mail simulando um contato profissional, por exemplo, o atacante poderia solicitar que o usuário usasse a busca do sistema operacional ou a barra de endereços das pastas para buscar pelo domínio malicioso; o sistema, ao não encontrar os dados localmente, abriria o site perigoso criado pelos criminosos.
Atenção aos sites falsos que simulam o WinRAR
Especialistas se dividem entre o alerta de risco e a trivialidade de domínios em formatos ZIP, MOV e outros, mas as recomendações básicas de segurança se mantém. Os usuários não devem clicar em links que cheguem por mensagens de texto ou e-mail, principalmente se fizerem referência a arquivos ou aplicativos conhecidos.
Cuidado com mensagens falsas em nome de empresas, lojas ou até mesmo contatos profissionais, evitando o acesso a sites falsos. Ao acessar um domínio, certifique-se de estar diante de uma página legítima e segura: verificaque o endereço na barra e interrompa o acesso caso detecte qualquer sinal de problema.
Acima de tudo, é importante lembrar que o processo de descompactação de arquivos não acontece no navegador, e sim no próprio Windows, a partir de janelas próprias e que não são abertas a partir de links. Vale a pena, ainda, manter um software antivírus sempre ativo no computador, já que soluções assim ajudam a identificar páginas falsas ou o download de arquivos maliciosos.
Fonte: mr.d0x