Anúncio falso de Tiririca no Facebook leva a página com vírus

Página no Facebook tem código que leva para vírus. (Foto: Reprodução)

Um anúncio pago veiculado na rede social Facebook divulga uma página falsa do deputado federal Francisco Everardo Oliveira da Silva (PR-SP), o Tiririca. Segundos após ser acessada, a página redireciona o internauta para um código malicioso brasileiro capaz de roubar senhas bancárias. O anúncio chamava o internauta com a frase “abestado clica em curtir de abestado“.

As páginas patrocinadas pelo Facebook, nas quais os criadores pagam certa quantia para divulgação, aparecem eventualmente em páginas variadas da rede social, o que pode levar a uma infecção em massa sem a necessidade do malware se propagar pela rede.

O ataque foi detectado inicialmente nesta sexta-feira (29). Até o final deste sábado (30), o perfil tinha ganhado mais de mil “curtir” de internautas que aparentemente não perceberam que a página encontra-se infectada.

Código IFrame

Anúncio veiculado no Facebook.

Análise realizada pela equipe de Análise e Resposta a Incidentes de Segurança do Linha Defensiva (ARIS-LD) constatou que a página contém um iframe que permite a realização de um download de um arquivo executável hospedado em outro servidor. É o mesmo problema já encontrado pela Linha Defensiva em diversos apps do Orkut.

A página utilizou o aplicativo Iwipa para que fosse possível inserir conteúdos através de iFrames. Em uma das linhas de código, o comando META REFRESH redireciona o usuário para “pagina.htm” no endereço http://www.ows.com.br, que por sua vez realiza outro redirecionamento para o arquivo http://www.facebook.com[1. Este é o nome do arquivo, sendo o .com a extensão de programa executável. A extensão .com era equivalente à .exe na época do MS-DOS.] localizado no mesmo servidor. Desta forma, usuários podem confundir a janela de download com o endereço do site.

A Linha Defensiva já comunicou o Facebook sobre o problema, mas a página continua no ar.