Página no Facebook tem código que leva para vírus. (Foto: Reprodução)

Um anúncio pago veiculado na rede social Facebook divulga uma página falsa do deputado federal Francisco Everardo Oliveira da Silva (PR-SP), o Tiririca. Segundos após ser acessada, a página redireciona o internauta para um código malicioso brasileiro capaz de roubar senhas bancárias. O anúncio chamava o internauta com a frase “abestado clica em curtir de abestado“.

As páginas patrocinadas pelo Facebook, nas quais os criadores pagam certa quantia para divulgação, aparecem eventualmente em páginas variadas da rede social, o que pode levar a uma infecção em massa sem a necessidade do malware se propagar pela rede.

O ataque foi detectado inicialmente nesta sexta-feira (29). Até o final deste sábado (30), o perfil tinha ganhado mais de mil “curtir” de internautas que aparentemente não perceberam que a página encontra-se infectada.

Código IFrame

Anúncio veiculado no Facebook.

Análise realizada pela equipe de Análise e Resposta a Incidentes de Segurança do Linha Defensiva (ARIS-LD) constatou que a página contém um iframe que permite a realização de um download de um arquivo executável hospedado em outro servidor. É o mesmo problema já encontrado pela Linha Defensiva em diversos apps do Orkut.

A página utilizou o aplicativo Iwipa para que fosse possível inserir conteúdos através de iFrames. Em uma das linhas de código, o comando META REFRESH redireciona o usuário para “pagina.htm” no endereço http://www.ows.com.br, que por sua vez realiza outro redirecionamento para o arquivo http://www.facebook.com[1. Este é o nome do arquivo, sendo o .com a extensão de programa executável. A extensão .com era equivalente à .exe na época do MS-DOS.] localizado no mesmo servidor. Desta forma, usuários podem confundir a janela de download com o endereço do site.

A Linha Defensiva já comunicou o Facebook sobre o problema, mas a página continua no ar.

Anúncios

Escrito por Diogo Baptista

3 comentários

  1. Verifica e denunciado também ao Cert.br, Google e Badwarebusters.

    Curtir

    Responder

  2. Ok, mas se é um download de vírus fraudulento e pago, pq o Ministério Público não é notificado disto? Pq o Linha Defensiva somente manda cartinha imbecil pro Facebook enquanto milhares de pessoas continuam sendo afetadas?
    Se é um anúncio fake pago, foi pago por alguém.

    Curtir

    Responder

    1. Quem pagou foi um coitado que teve o cartão de crédito roubado.

      Curtir

      Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.