Um novo worm está se espalhando rapidamente no Twitter por meio do serviço de encurtamento de URLs do Google, o “goo.gl”, para distribuir links maliciosos. As mensagens no microblogging apresentam apenas um link, sem texto algum. Quem faz o alerta é Nico Brulez, especialista da Kaspersky Lab.
O link malicioso leva para vários direcionamentos, descritos abaixo. Esses redirecionamentos em cadeia levam os usuários do Twitter que clicaram na URL para uma página que sugere a instalação do “Security Shield”, um famoso scareware conhecido como Rogue AV, ou seja, um falso antivírus. A pagina, que utiliza a mesma técnica de ofuscamento da sua versão anterior (Security Tool), tem como objetivo dificultar a identificação do código malicioso por meio da implementação de chaves de criptografia RSA no JavaScript da página.
Alguns detalhes técnicos do ataque:
Cadeia de redirecionamentos
O link “goo.gl” está direcionando os usuários para diferentes domínios, todos com a página “m28sx.html”:
Em seguida, a página html direciona o visitante para um domínio estático localizado na Ucrânia:
Já o domínio encaminha o usuário para outro endereço IP que está relacionado à distribuição do falso antivírus:
Este, por sua vez, faz o trabalho final de redirecionamento e conduz a vitima para o site malicioso:
O falso antivírus
Ao acessar o site malicioso, um alerta surgirá informando que a máquina está executando aplicações suspeitas e pede que o usuário aceite um “escaneamento”:
Após clicar no OK, o “escaneamento” começa e as “infecções” passam a ser reportadas:
Então o usuário receberá instruções para remover as ameaças presentes em seu computador. Para que isso ocorra, é preciso baixar e instalar o “Security Shield”, uma aplicação falsa que se passa por um antivírus:
A interface do programa é traduzida conforme o idioma configurado no computador do internauta.
Antivírus falso usando criptografia RSA no site
Técnicas de criptografia são muito comuns em páginas maliciosas. Aqui, uma pequena explicação sobre o código do site malicioso, onde encontramos dois tipos de criptografia:
- Base64 Decode (trivial)
- RSA com Modulus
Aqui está parte do código da página ofuscada:
Tanto a classe quanto o método usado na criptografia possuem nomes randômicos. O método “camungjr” está tomando um parâmetro em BASE64. Ao investigarmos sua classe, encontramos o algoritmo RSA:
Usuários familiarizados com criptografia irão reconhecer o algoritmo RSA neste código, baseado em função com três parâmetros: C, D e N que usam o operador “powmod”. Entretanto, vale ressaltar que todos os usuários da Kaspersky estão protegidos contra esse worm e todas as URLs listadas nesse ataque estão na blacklist.
