Site falso do Skype distribui programa com praga brasileira

Usuários que buscam o download do Skype através do Google podem ser enganados e ao invés de instalar o programa de mensagens instantâneas da Microsoft, podem acabar instalando uma praga em seu PC.

A denuncia do golpe foi feita por um usuário da Linha Defenisva, através dos nossos canais de contato. Para disseminar a praga cibercriminosos brasileiros registraram o domínio malicioso skype2013.com.br e compraram anúncios no Adwords do Google para divulgá-lo não só nas buscas do Google como também em sites que exibem os anúncios do Adwords. Ao buscar a palavra “skype”, o primeiro resultado será o site malicioso:

O link também aparece nos anúncios em outros sites:

O domínio malicioso que está distribuindo a praga tem aparência de um site normal de downloads:

Para distribuir a praga os cibercriminosos hospedaram os arquivos no site SourceForge.net, uma comunidade especializada na hospedagem e suporte a projetos de software de código aberto. Eles registraram pelo menos 2 contas no serviço, que passaram a hospedar e distribuir os arquivos maliciosos.

Nessa semana o usuário “newskype” hospedou a praga, que foi baixada mais de 17 mil vezes:

Outra conta do usuário “skypex2013” também publicou o arquivo malicioso, que foi baixado quase 70 mil vezes:

No momento o malware possui baixa detecção, somente 6 antivirus o detectam. A Linha Defensiva recomenda aos usuários que baixem softwares somente de site oficiais, evitando sites de downloads e outras fontes não oficiais.

Detalhes da infecção

A Linha Defensiva encontrou 3 versões diferentes do falso instalador do Skype, cada um deles trazendo diferentes trojans bancários. Essa tática é comum entre cibercriminosos, para garantir que os produtos antivirus não detectem a praga.

Em todos os casos analisados o arquivo SkypeSetup.exe é um arquivo SFX, um executável compilado pelo WinRAR. Dentro dele existe os arquivos maliciosos e o verdadeiro instalador do Skype:

Portanto quando o arquivo for executado, o arquivo start.bat se encarrega de executar o verdadeiro instalador do Skype e também “instala” os outros arquivos na máquina da vítima, incluindo 2 trojans bancários.

No caso analisado, 2 arquivos foram adicionados na inicialização do sistema:

HKCU..PoliciesExplorerRun: [StartWindows] %AppData%WinlogonSetupShellWindows.cpl

E um BHO no Internet Explorer: {FE6FE30D-D976-4DB5-BF4E-F031C12D0F48} – %AppData%WinlogonSetup4eb5d93d4eb3da2369.642a4776

Cada falso instalador diferente do Skype faz uma alteração diferente, um outro analisado irá apenas alterar o proxy do navegador.

Essa campanha maliciosa está em circulação já a alguns dias, somente no dia 12 de julho passado monitoramos o número de infectados: mais de 2000 pessoas foram infectadas em menos de 24 horas:

A Linha Defensiva relatou o problema para a Microsoft, Google, SourceForge e Registro.br para que tomem as providencias quanto ao dominio malicioso, e também distribuimos os falsos instaladores para as companhias antivírus.