Os pesquisadores de segurança da Malwarebytes, desenvolvedora de software anti-malware, identificaram um novo golpe na qual hackers estão explorando uma vulnerabilidade de cross-site scripting (XSS).

Os golpistas contam exclusivamente com links postados no Facebook para alcançar potenciais vítimas e depois se disfarçam de técnicos de suporte no intuito de vender programas que visam limpar os sistemas infectados (por eles mesmos).

Reprodução / Pixabay

Golpistas exploram vulnerabilidade no XSS através de links maliciosos. Imagem: Reprodução / Pixabay

O golpe começa com links encurtados bit.ly maliciosos que estão sendo distribuídos na plataforma de mídia social e que, em última análise, levam as vítimas pretendidas a uma página de bloqueio do navegador. De acordo com o Malwarebytes, certos jogos e aplicativos no Facebook parecem ser utilizados na distribuição desses links.

Links no Facebook foram usados para explorar vulnerabilidade

Em um período de três meses, os pesquisadores encontraram um total de 50 links bit.ly diferentes que estavam sendo usados nesta campanha. Isso, diz os especialistas, sugere que os golpistas de suporte técnico mudavam regularmente esses links para evitar a lista negra.  

Os URLs bit.ly acionariam um novo redirecionamento para um site de notícias peruano (rpp [.] Pe) contendo uma vulnerabilidade de script entre sites (XSS). O site legítimo, por sua vez, tem mais de 23 milhões de visitas por mês. 

Segundo a Malwarebytes, o problema é que, além de redirecionar os usuários para outros sites, um invasor pode explorar o XSS para reescrever a página atual do jeito que quiser. 

Reprodução / Pixabay

Links no Facebook podem redirecionar para site que pode entregar conteúdo malicioso aos usuários. Imagem: Reprodução / Unsplash

Neste ataque, a próxima etapa envolve o código sendo passado a URL para carregar o código JavaScript externo do domínio malicioso buddhosi [.] com. O script foi projetado para criar um redirecionamento da página de destino do navegador. 

Inicialmente, os invasores carregavam diretamente domínios camuflados para verificar o tráfego de entrada e entregar o conteúdo malicioso apenas para vítimas diretas. Posteriormente, os invasores adicionaram uma exploração mais ampla da de segurança.

Malware induz usuário a entrar em contato com falso suporte técnico

No final da cadeia de redirecionamento, o usuário recebe um bloqueio do navegador que mostra uma animação sugerindo que os arquivos do sistema estão sendo verificados e ameaçando excluir o disco rígido após cinco minutos. 

O truque provavelmente é convincente o suficiente para que algumas pessoas liguem para o número de um suposto suporte técnico especializado no problema que, convenientemente, está listado na página.

A Malwarebytes identificou cerca de 40 números de telefone diferentes usados nessas páginas falsas, mas observa que a lista pode ser mais longa.

O próximo passo do golpe do suporte técnico é bem conhecido: a vítima é informada de que seu computador foi infectado e é orientada a comprar imediatamente softwares ou serviços caros para limpar seu sistema. Ironicamente, o malware instalado, na verdade, era apenas uma forma de forçar a venda de um produto que promete proteger contra ciberataques.

Fonte: Security Week