Malware propaga-se via aplicação de Facebook

Malware propaga-se via aplicação de Facebook

Um evento com o título Garota de 15 anos vítima de Bullying comete suicídio após mostrar os seios no Facebook… está a circular no Facebook e a infetar milhões de utilizadores desta rede social.
Já tinha feito a partilha deste esquema na página de Facebook via MiudosSegurosNa.Net mas achei interessante aprofundar um pouco mais este esquema fraudulento.
O objectivo principal é propagar malware e infetar o máximo de utilizadores possíveis.

A aplicação maliciosa deteta o sistema operativo do utilizador e, caso se confirme o sistema Windows, tenta o download de um ficheiro executável – fbinst13.4_pt.exe. No sistema Linux e Mac OSX não faz qualquer tipo de interação apenas mostra o vídeo da Amanda Todd no Youtube.

Este ficheiro .exe tem uma taxa de deteção no VirusTotal de 14/46.

Após executar este ficheiro, o malware executa (ou tenta) as seguintes operações no sistema operativo:

  • Executa novos processos na memória
  • Muda as definições de segurança do browser Internet Explorer
  • Cria uma nova extensão para o browser Google Chrome intitulada de hacnainihjioklmpbekefnmgolokjlfp
  • Em alguns casos crashar o sistema operativo
  • Insere e modifica registos no Windows
  • Envia informação confidencial para o website fbupdates.us.to (https) – envia um dump de palavras passes guardadas no sistema
  • Comunica com servidor de IRC (para posterior Command & Control)

O malware utiliza o serviço do site http://freegeoip.net/json/ para obter dados de geo-localização. Provavelmente para submeter operações especificas para cada país.

Nome do arquivo: fbinst13.4_pt.exe
Taxa de deteção: 14 / 46
SHA256: 89383123881ac07b791ae70e62008166f1d51b45851c6ac9e66db4b3037cc8b2

Se por acaso executou este malware, recomendo a instalação do Malwarebytes. Também deve trocar as passwords porque já devem ter sido comprometidas.

Nota: Enquanto escrevia este artigo, o evento foi removido do Facebook mas o endereço do ficheiro malicioso ainda continua ativo. Deve ser uma questão de tempo para ser criado outro evento com a referência ao mesmo ficheiro.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    1 Comentário em "Malware propaga-se via aplicação de Facebook"

    1. Laura Abreu diz:

      Olá, boa noite! Tenho cedido meu notebook pra uso diário aqui em casa, e me parece que ele acabou sendo infectado por exatamente este malware. Gostaria de saber se o programa Malwarebytes realmente seria capaz de detectar a contaminação e resolver meu problema, pois estou preocupada.
      Agradeço pela disseminação de uma informação de utilidade pública, haha.

      Abraço.

    Que tal participar com o seu comentário?