Usuários que buscam o download do Skype através do Google podem ser enganados e ao invés de instalar o programa de mensagens instantâneas da Microsoft, podem acabar instalando uma praga em seu PC.

A denuncia do golpe foi feita por um usuário da Linha Defenisva, através dos nossos canais de contato. Para disseminar a praga cibercriminosos brasileiros registraram o domínio malicioso skype2013.com.br e compraram anúncios no Adwords do Google para divulgá-lo não só nas buscas do Google como também em sites que exibem os anúncios do Adwords. Ao buscar a palavra “skype”, o primeiro resultado será o site malicioso:

google

O link também aparece nos anúncios em outros sites:

anuncio

O domínio malicioso que está distribuindo a praga tem aparência de um site normal de downloads:

skype

Para distribuir a praga os cibercriminosos hospedaram os arquivos no site SourceForge.net, uma comunidade especializada na hospedagem e suporte a projetos de software de código aberto. Eles registraram pelo menos 2 contas no serviço, que passaram a hospedar e distribuir os arquivos maliciosos.

Nessa semana o usuário “newskype” hospedou a praga, que foi baixada mais de 17 mil vezes:

source2

Outra conta do usuário “skypex2013” também publicou o arquivo malicioso, que foi baixado quase 70 mil vezes:

source1

No momento o malware possui baixa detecção, somente 6 antivirus o detectam. A Linha Defensiva recomenda aos usuários que baixem softwares somente de site oficiais, evitando sites de downloads e outras fontes não oficiais.

Detalhes da infecção

A Linha Defensiva encontrou 3 versões diferentes do falso instalador do Skype, cada um deles trazendo diferentes trojans bancários. Essa tática é comum entre cibercriminosos, para garantir que os produtos antivirus não detectem a praga.

Em todos os casos analisados o arquivo SkypeSetup.exe é um arquivo SFX, um executável compilado pelo WinRAR. Dentro dele existe os arquivos maliciosos e o verdadeiro instalador do Skype:

files

Portanto quando o arquivo for executado, o arquivo start.bat se encarrega de executar o verdadeiro instalador do Skype e também “instala” os outros arquivos na máquina da vítima, incluindo 2 trojans bancários.

instalador

No caso analisado, 2 arquivos foram adicionados na inicialização do sistema:

HKCU..PoliciesExplorerRun: [StartWindows] %AppData%WinlogonSetupShellWindows.cpl

E um BHO no Internet Explorer: {FE6FE30D-D976-4DB5-BF4E-F031C12D0F48} – %AppData%WinlogonSetup4eb5d93d4eb3da2369.642a4776

Cada falso instalador diferente do Skype faz uma alteração diferente, um outro analisado irá apenas alterar o proxy do navegador.

Essa campanha maliciosa está em circulação já a alguns dias, somente no dia 12 de julho passado monitoramos o número de infectados: mais de 2000 pessoas foram infectadas em menos de 24 horas:

numero

campanha1

A Linha Defensiva relatou o problema para a Microsoft, Google, SourceForge e Registro.br para que tomem as providencias quanto ao dominio malicioso, e também distribuimos os falsos instaladores para as companhias antivírus.

Anúncios

Escrito por Redação Linha Defensiva

13 comentários

  1. Henrique Avilez 13/07/2013 às 18:39

    Linha defensiva como sempre está de parabéns, muito útil.
    bom para se precaver!

    Curtir

    Responder

  2. Daniel Augusto 13/07/2013 às 20:56

    A Linha Defensiva esta de parabéns, pena que as leis não ajuda a punir essas pessoas.

    Curtir

    Responder

  3. muito bom linha defensiva parabéns

    Curtir

    Responder

  4. O projeto no source forge já não existe mais, porém o link do ads no Google ainda esta lá.

    Fiquei decepcionado com a google agora

    Curtir

    Responder

    1. Fabio Assolini 14/07/2013 às 19:38

      Ygor, não é o primeiro caso que a gente encontra. Já vimos ataques semelhantes usando o Adsense para disseminar links para sites maliciosos do WinRAR e outros.

      Curtir

      Responder

  5. Muito bom :)

    Curtir

    Responder

  6. Como o SourceForge deixa isso passar? Eu já tentei cadastrar projetos lá e costumava ser bem criterioso. É claro que qualquer programa com Skype no meio, que não seja o Skype de verdade, não é algo bom!

    Não entendi essa da SourceForge!

    Obrigado pelo aviso, Linha Defensiva! :-)

    Curtir

    Responder

  7. Esse criminosos continuam agindo. Eles estão usando o domínio http://www.skype2014.com.br/ e usando o Sourceforge http://sourceforge.net/projects/instalar/ para disseminar.

    Curtir

    Responder

  8. Os criminosos estão usando o seguinte endereço agora: http://skype2014.com.br/

    Curtir

    Responder

  9. Alex Sandro Juchem 20/07/2013 às 14:28

    Boa Tarde,
    ao buscar por ‘download skype’ no google, nos apresenta este resultado no adwords
    http://www.skype2014.com.br/
    acredito ser do memso do skype2013, fica o alerta!

    Abraços

    Curtir

    Responder

  10. Carlos Nascimento 07/08/2013 às 13:59

    Para nós, usuários do skype, esse aviso foi importantíssimo.
    Quanto aos instaladores, como o Baixaki, por exemplo, deveriam ser mais cuidadosos respeitando a integridade daqueles que confiam neles e não permitir a instalação de programas “extras”, em pacotes baixados pelos usuários.

    Curtir

    Responder

  11. Então como vou saber se meu skype esta com algum destes virus e como me previnir destes virus se é que o antivirus vai detectar

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.