Usuários que buscam o download do Skype através do Google podem ser enganados e ao invés de instalar o programa de mensagens instantâneas da Microsoft, podem acabar instalando uma praga em seu PC.
A denuncia do golpe foi feita por um usuário da Linha Defenisva, através dos nossos canais de contato. Para disseminar a praga cibercriminosos brasileiros registraram o domínio malicioso skype2013.com.br e compraram anúncios no Adwords do Google para divulgá-lo não só nas buscas do Google como também em sites que exibem os anúncios do Adwords. Ao buscar a palavra “skype”, o primeiro resultado será o site malicioso:
O link também aparece nos anúncios em outros sites:
O domínio malicioso que está distribuindo a praga tem aparência de um site normal de downloads:
Para distribuir a praga os cibercriminosos hospedaram os arquivos no site SourceForge.net, uma comunidade especializada na hospedagem e suporte a projetos de software de código aberto. Eles registraram pelo menos 2 contas no serviço, que passaram a hospedar e distribuir os arquivos maliciosos.
Nessa semana o usuário “newskype” hospedou a praga, que foi baixada mais de 17 mil vezes:
Outra conta do usuário “skypex2013” também publicou o arquivo malicioso, que foi baixado quase 70 mil vezes:
No momento o malware possui baixa detecção, somente 6 antivirus o detectam. A Linha Defensiva recomenda aos usuários que baixem softwares somente de site oficiais, evitando sites de downloads e outras fontes não oficiais.
Detalhes da infecção
A Linha Defensiva encontrou 3 versões diferentes do falso instalador do Skype, cada um deles trazendo diferentes trojans bancários. Essa tática é comum entre cibercriminosos, para garantir que os produtos antivirus não detectem a praga.
Em todos os casos analisados o arquivo SkypeSetup.exe é um arquivo SFX, um executável compilado pelo WinRAR. Dentro dele existe os arquivos maliciosos e o verdadeiro instalador do Skype:
Portanto quando o arquivo for executado, o arquivo start.bat se encarrega de executar o verdadeiro instalador do Skype e também “instala” os outros arquivos na máquina da vítima, incluindo 2 trojans bancários.
No caso analisado, 2 arquivos foram adicionados na inicialização do sistema:
HKCU..PoliciesExplorerRun: [StartWindows] %AppData%WinlogonSetupShellWindows.cpl
E um BHO no Internet Explorer: {FE6FE30D-D976-4DB5-BF4E-F031C12D0F48} – %AppData%WinlogonSetup4eb5d93d4eb3da2369.642a4776
Cada falso instalador diferente do Skype faz uma alteração diferente, um outro analisado irá apenas alterar o proxy do navegador.
Essa campanha maliciosa está em circulação já a alguns dias, somente no dia 12 de julho passado monitoramos o número de infectados: mais de 2000 pessoas foram infectadas em menos de 24 horas:
A Linha Defensiva relatou o problema para a Microsoft, Google, SourceForge e Registro.br para que tomem as providencias quanto ao dominio malicioso, e também distribuimos os falsos instaladores para as companhias antivírus.
Linha defensiva como sempre está de parabéns, muito útil.
bom para se precaver!
CurtirCurtir
A Linha Defensiva esta de parabéns, pena que as leis não ajuda a punir essas pessoas.
CurtirCurtir
muito bom linha defensiva parabéns
CurtirCurtir
O projeto no source forge já não existe mais, porém o link do ads no Google ainda esta lá.
Fiquei decepcionado com a google agora
CurtirCurtir
Ygor, não é o primeiro caso que a gente encontra. Já vimos ataques semelhantes usando o Adsense para disseminar links para sites maliciosos do WinRAR e outros.
CurtirCurtir
Muito bom :)
CurtirCurtir
Como o SourceForge deixa isso passar? Eu já tentei cadastrar projetos lá e costumava ser bem criterioso. É claro que qualquer programa com Skype no meio, que não seja o Skype de verdade, não é algo bom!
Não entendi essa da SourceForge!
Obrigado pelo aviso, Linha Defensiva! :-)
CurtirCurtir
Esse criminosos continuam agindo. Eles estão usando o domínio http://www.skype2014.com.br/ e usando o Sourceforge http://sourceforge.net/projects/instalar/ para disseminar.
CurtirCurtir
Os criminosos estão usando o seguinte endereço agora: http://skype2014.com.br/
CurtirCurtir
tem o de 2014 ja http://img9.imageshack.us/img9/7166/qt22.png
CurtirCurtir
Boa Tarde,
ao buscar por ‘download skype’ no google, nos apresenta este resultado no adwords
http://www.skype2014.com.br/
acredito ser do memso do skype2013, fica o alerta!
Abraços
CurtirCurtir
Para nós, usuários do skype, esse aviso foi importantíssimo.
Quanto aos instaladores, como o Baixaki, por exemplo, deveriam ser mais cuidadosos respeitando a integridade daqueles que confiam neles e não permitir a instalação de programas “extras”, em pacotes baixados pelos usuários.
CurtirCurtir
Então como vou saber se meu skype esta com algum destes virus e como me previnir destes virus se é que o antivirus vai detectar
CurtirCurtir