Malware usa mensagens diretas do Twitter para se espalhar

Caso você receba uma DM estranha no Twitter, com apenas seu nome e um link, não clique, mesmo que o remetente seja conhecido. É essa a tática que está sendo usada para disseminação em massa de um novo malware, que promete revelar quem visitou o perfil dos usuários na rede social, mas, na realidade, utiliza o sistema de mensagens diretas para se proliferar para mais contas.

• Novos golpes com WhatsApp podem roubar dados bancários
• Essas são as ameaças digitais que devem ganhar mais destaque em 2022

A praga utiliza uma aplicação vinculada à API da própria plataforma e atende por diferentes nomes como Sebep, Karamsar e Gerekce. O objetivo, entretanto, é sempre o mesmo: obter permissões avançadas aos perfis de usuários do Twitter, tendo autorização para realizar postagens, apagar publicações, seguir perfis e enviar mensagens diretas, entre outras ações que possibilitam controle completo das contas.

É a partir dessa última que, ao ser autorizado, o malware começa a agir. As contas comprometidas a que o Canaltech teve acesso começaram a enviar, em massa, mensagens diretas com o link para diversos usuários de uma vez. Por outro lado, nenhuma outra ação aparente foi realizada e, ao usar a API da própria rede social, o malware também garante seu funcionamento independentemente do dispositivo usado para clicar no link, já que o alvo é a própria conta e não os aparelhos dos usuários.

“O phishing é uma técnica bem conhecida para esse tipo de ataque, além de uma das ferramentas mais comuns antes de um golpe de maior escala, como os incidentes de ransomware que temos visto pelo mundo todo”, explica Rafael Foster, engenheiro de vendas sênior da Sophos. De acordo com ele, é a partir de um link malicioso ou uma mensagem fraudulenta que o usuário pode conceder acesso ao ambiente e permitir a instalação de malware.

Ao analisar os casos apresentados pela reportagem, o especialista também apontou outras características comuns de ataques desse tipo, que tentam aguçar a curiosidade dos usuários, oferecer prêmios ou outros benefícios. Neste caso, se trata da promessa de revelar quem andou visitando o perfil das pessoas no Twitter, uma possibilidade que nem mesmo existe na rede social.

Foster também aponta que a página em questão está protegida por proxies, o que dificultaria uma detecção por sistemas de segurança — a análise realizada pelo time de pesquisa do SophosLabs, usando inteligência artificial, foi capaz de determinar o site como fraudulento. Outros sistemas de segurança, até mesmo do próprio Windows, já indicam o perigo e exibem mensagens de alerta aos usuários que tentarem acessar a aplicação fraudulenta.

Primeiro passo

“Ao disseminar mensagens para vários usuários do Twitter e obter acesso a outras contas por meio da API [da rede social], [os bandidos] criam uma grande rede de pessoas e podem a utilizar para fins específicos, que ainda não estão claros”, completa Foster. De acordo com ele, ainda que os objetivos sejam desconhecidos, o método é um indicativo de preparação para um ataque futuro, possivelmente de ransomware.

O Canaltech também compartilhou os detalhes do caso com o Twitter, que conduziu uma investigação interna e suspendeu permanentemente o desenvolvedor dos aplicativos, que também deixaram de funcionar. De acordo com a rede social, foram quebradas regras relacionadas à automação de perfis, que proíbem o envio de spam por meio de mensagens diretas; confira a íntegra do comunicado:

O Twitter possui regras de automação que proíbem o envio de spam, incluindo via Mensagem Direta (DM), e violações estão sujeitas a medidas cabíveis. Temos sido cada vez mais proativos em detectar, via tecnologia, comportamentos suspeitos de tentar manipular as atividades automatizadas na plataforma, e também contamos com as denúncias das pessoas em nosso serviço para combater esse tipo de ação. Conduzimos uma investigação interna e suspendemos permanentemente o desenvolvedor do aplicativo em questão por violação às regras de automação. Todos os aplicativos vinculados ao desenvolvedor foram suspensos automaticamente.

Não clicar é a solução

A aplicação, ainda que maliciosa, utiliza a API do próprio Twitter para se proliferar, o que significa que as credenciais dos usuários comprometidos, em si, não estão sendo interceptadas pelos criminosos. O mesmo, porém, não pode ser dito de informações públicas e privadas das contas, já que, como dito, a aplicação tem acesso profundo a todos os elementos dos perfis, incluindo a leitura de mensagens diretas, que podem conter imagens e dados sensíveis.

Vale, porém, a dica de sempre quando o assunto são os links enviados por mensageiros instantâneos: evite clicar e, principalmente, preencher cadastros, conceder autorizações ou entregar informações, mesmo que eles tenham sido mandados por um conhecido ou contato confiável. “Cadastrar e aceitar que uma aplicação tenha acesso às nossas contas em rede social também é algo muito perigoso”, aponta o especialista, indicando que os usuários devem sempre prestar atenção às permissões e configurações antes de liberar essa utilização.

Caso já tenha feito isso, o primeiro passo é desvincular o aplicativo malicioso da conta no Twitter, a partir do menu de Configurações – Segurança e acesso à conta – Aplicativos e sessões. É nesta tela que ficam todos os softwares autorizados pelo usuário, basta clicar em um deles e, depois, em “revogar permissões do aplicativo” para que ele não tenha mais acesso ao perfil.

Por fim, sempre vale a pena manter sistemas operacionais e aplicativos atualizados, assim como softwares de segurança ativos no computador e celular. Como dito, o site malicioso que é usado para disseminar o app já está sendo indicado como perigoso por diferentes soluções, ajudando a proteger usuários mesmo quando clicarem nos links que receberem.