Ataque de phishing atinge Facebook em Portugal

O alerta é dado pela Kaspersky Lab, que descobriu um ataque de malware que enganou cerca de 10 mil utilizadores do Facebook em todo o mundo, infetando os seus dispositivos após a receção de uma mensagem. Os dispositivos comprometidos foram então usados para sequestrar as contas desta rede social, com o objetivo de propagar a infeção através dos amigos da vítima e de permitir outras atividades maliciosas. Portugal, Brasil, Polónia, Perú, Colômbia, México, Equador, Grécia, Tunísia, Venezuela, Alemanha e Israel foram os países mais afetados.

Assim, entre os dias 24 e 27 de junho milhares de utilizadores receberam uma mensagem de um amigo no Facebook a pedindo-lhes que o mencionassem num comentário. A cadeia foi iniciada por cibercriminosos e consistiu num ataque de duas etapas. A primeira etapa descarregava e instalava um Trojan no computador do utilizador e uma extensão maliciosa do Chrome, entre outras coisas. Isto permitiu que, na segunda etapa, o controlo da conta do Facebook da vítima fosse tomado pelos hackers ao voltar a iniciar sessão através do browser comprometido.

Quando bem-sucedido, o ataque permitia alterar a configuração de privacidade, extrair dados, entre outras consequências, o que fez com que a infeção se propagasse através da rede de amigos do Facebook da vítima, e que os seus autores levassem a cabo outras atividades maliciosas, como spam, roubo de identidade e a geração fraudulenta de 'gostos' ou partilhas. O malware tratou de se proteger a si mesmo do acesso às listas negras de centenas de websites, como os dos fabricantes de software de segurança.

As pessoas que utilizam equipamentos baseados em Windows para aceder ao Facebook foram as mais atacadas. Os utilizadores com dispositivos móveis Android e iOS estavam imunes, já que o malware utiliza bibliotecas que não são compatíveis com estes sistemas operativos móveis.

O Trojan utilizado pelos atacantes não é novo, diz a Kaspersky. Há já um ano que surgiram notícias sobre ele, quando recorreu a um processo de infeção similar. Em ambos os casos, os indícios da linguagem do malware parecem apontar para criminosos de idioma turco.

O Facebook já mitigou esta ameaça e bloqueou as técnicas usadas para propagar malware a partir de equipamentos afetados. A Google também já eliminou pelo menos uma das extensões más do da Chrome Web Store.

Os utilizadores que pensem poder estar infetados devem fazer uma verificação de malware ao seu computador ou abrir o Chrome e procurar extensões suspeitas. Se existirem, devem terminar a sessão da conta do Facebook, fechar o browser e desligar a rede do computador. Devem ter uma solução de segurança que analise o equipamento e verifique, limpe e elimine o malware.