Novo malware no Facebook promete exibir os últimos 10 visitantes do perfil dá vitima.

Chegou até mim a noticia que há um aplicativo no facebook chamado ProfileSpy ( Stalker) , o qual promete exibir os últimos visitantes do seu perfl na rede do Facebook.

Pesquisando um pouco notei que o aplicativo fornece para a vitima um link malicioso,que promete exibir os ultimos 10 visitantes do seu perfil.
Porém na verdade este link realiza uma postagem no mural da pessoa para que todos em sua rede faça uso do falso app. Como todo malware voltado para o Facebook, este apenas coleta seus dados da rede social para fins escusos.

Portanto fique alerta caso algum amigo seu apareça com essa “novidade” alerte-o sobre os riscos e não clique em nenhum link que prometa algo parecido pois na maioria das vezes – quase sempre – são aplicativos maliciosos.

Público Alvo

Este falso aplicativo parece ter seu púbico aqui no Brasil, onde a curiosidade para saber quem é que esta visitando seu perfil já é mania. Tendo em vista a rede social Orkut que já oferece este tipo de serviço aos seus usuários.

Prevenção

Para se prevenir é simples só não fazer uso deste aplicativo, e para quem já utilizou retire as permissões concedidas ao aplicativos na área de configurações de aplicativos, em seguida troque sua senha.

Olá pessoal,

Esta semana foi uma semana muito agitada nos sites de relacionamento, Orkut, Youtube, e Twitter. Tudo começou no Twitter que sofreu com uma falha a qual permitia ataques XSS, isto ainda durante a semana.

Já no Sábado o Orkut sofreu um de seus maiores ataques, e assim como no Twitter a falha permitia o ataque o XSS. Já no domingo o Youtube foi a bola da vez e teve um ataque em massa, bobo porém que pertubava bastante.

Pois o atacante podia alterar o título de qualquer vídeo, e isso foi usado em grande escala para divulgar a falha ou apenas por molecagem.

Entrando em detalhes:

Sobre o ataque ao Orkut

No Orkut o que permitiu o ataque foi uma tag html não fechada, a tag STYLE, tendo isso em mãos usuários do Orkut criaram um worn que infectava as contas dos usuários que visualizassem scraps, tópicos e status dos perfis já infectado, criando assim um processo de bola de neve. Uma vez que não era preciso clicar em link algum para se infectar, bastava visualizar o conteúdo malicioso.

Veja um trecho do código utilizado no ataque ao Orkut:

Apesar do worn ter dado muita dor de cabeça para quem foi infectado, ele não oferecia nenhum risco para seu PC.

Sobre o ataque ao Youtube

Neste ataque diferente do que aconteceu no Orkut, ele apenas possibilitava a alteração do titulo de qualquer vídeo, e isto só foi possível por causa de uma falha grotesca por parte do Youtube, a qual permitia a edição do título sem verificar quem estava realizando a alteração.

Neste episódio uma pessoal se destacou por ter explorado o bug primeiro, e após ele vieram outros. Estou falando de Miguel Targa, este mesmo que esteve relacionado ao episódio do XSS do Twitter na semana passada.

Entrei em contato com Miguel e deu algumas palavras esclarecendo o que aconteceu, leiam:

Silas Martins:  Como você detectou a falha?

Miguel Targa: Usando o youtube.

Silas Martins: E porque aquele titulo? (@migueltarga e @saadzim_ Amaram seu video *-*)

Miguel Targa: Porque só queríamos alertar.

Silas Martins: Entendi, procede a informação de que “talvez” fosse possível alterar a titularidade da conta vinculada a determinado vídeo?

Miguel Targa: Desconheço

Silas Martins: Qual foi a participação do Saad?

Miguel Targa: coletar contas e me ajudar a executar meu script.

Silas Martins:  Você utilizava algum add-on para executar o pog?

Miguel Targa: Ferramenta utilizada: curiosidade.

Silas Martins: Após a correção da falha a equipe do Youtube entrou em contato com você, ou deletou sua conta?

Miguel Targa: Nada, pelo menos não chequei meu email.

Silas Martins: Fazendo um balanço dos ultimo mês, pode-se dizer que você anda envolvido quase que sempre nos ataques mais divulgados. Sejam eles no Twitter, Orkut ou You tube. Porque este seu interesse por essas redes sociais?

Miguel Targa: Curiosidade

Ao final da conversa Miguel disponibilizou um vídeo no Youtube onde fala mais sobre o ataque.

Miguel Targa ainda disponibilizou o código utilizado em seu ataque, para os interessados acessem o link: http://pastebin.com/G0SzRYFi

Estes ataques só tem demonstrado quão frágil é a segurança de grandes sites, e o descaso que o Google tem pela segurança de seus usuários. Porém a grande maioria dos portais Brasileiros tem brechas assim, só que não são tão exploradas.

Entenda como funcionava o bug que permitia o “roubo” de comunidades no Orkut.

Como muitos já devem estar sabendo, mas é bom frisar que o Orkut sofreu uma série de ataques visando o roubo de comunidades já bem conhecidas por usuários da rede social neste domingo. E como resposta a Google excluiu o perfil de quem tivesse usado o bug para obter comunidades por meio deste bug.

No entanto ninguém(ou quase ninguém) sabe até o momento como funcionava o bug, ou melhor, como explorá-lo.

Estive conversando com um dos envolvidos aos ataques em comunidades. O que pude perceber pelo que me foi dito, é que o bug explorava uma falha grotesca no Orkut.

Quando perguntado sobre o funcionamento do bug, Miguel disse:
O Bug Funcionava no momento de receber transferência de comunidade. Refazendo a requisição com dados de uma comunidade que a pessoa participava.

Perguntei qual teria sido a principal comunidade que tivesse sido “roubada”:

Acho que a principal mesmo foi a Numero 1.. e muitas outras de mais de 1 milhão de membros..

Como descobriu o Bug?

Descobri o bug por meio do meu amigo( Saad). e fui explorando.. e deu no que deu

Qual o risco do bug voltar à ativa?

O bug já foi corrigido, tornando impossível efetuar o mesmo outra vez

Teria como uma pessoa que perdeu a cmm por esse bug recuperá-la?

Quase todos já recuperaram as comunidades, orkut restaurou.. tem algumas que ainda estão sem dono

O que a Google fez para tentar reverter isto?

Eles tentaram corrigir o bug no primeiro dia, mas quem salvou os dados no outro dia poderia refazer ( eu tinha salvo)

Esses são trechos de uma conversa com Miguel Targa um amigo que teve acesso a forma de explorar o bug. Fica aqui meu  agradecimento  a Miguel.

Nova tentativa de phishing mirando os usuários do Orkut foi lançada recentemente. Um e-mail com título de Denúncia – Orkut.com esta circulando em caixas postais net a fora, e apesar de sua aparência até lembrar o velho visual do Orkut, o e-mail não tem ligação alguma com a rede social.

O e-mail tenta fazer o leitor acreditar que seu perfil no Orkut foi denunciado, afim de que o mesmo clique em um link para regularizar a sua situação, com o seguinte texto os hackers estão tentando enganar os internautas:

“O Orkut é uma comunidade on-line que conecta pessoas através de uma rede de amigos confiáveis.

E o seu Profile foi denunciado por postar fotos não autorizadas pelo nosso sistema do orkut.

Dentro de (48 horas) seu Orkut será bloqueado se você não ativar seu novo Profile.

Obs. Para que isso não aconteça com você basta ativar seu novo Profile no link abaixo.

(Agradece toda Direção do Orkut.com)!”

Com este texto e com o visual mostrado abaixo os hackers tentam passar a falsa impressão de que se trata de um e-mail da Google. Porém a farsa vem abaixo logo no link quando posicionado o mouse sobre o mesmo pode-se observar que a url não pertence ao Google.

Outro erro é no e-mail que até consegue enganar os mais desavisados,
 mas quando se olha o código fonte da mensagem nota-se o real e-mail por traz da mensagem.
O real e-mail é ... 

O pior ainda esta por vir, pois se alguém receber este e-mail e sem saber clicar no link que
 nele existe vai esta contraindo um Trojan-Dropper.Agent,
 que em meus testes se mostrou chato pois exibe uma janela de tempos em tempos.
Se passando pela janela do “Meu computador”

Segue abaixo a análise do vírus

Arquivos criados:

C:\WINDOWS\system32\sto1940.exe

C:\WINDOWS\system32\tyune.exe

C:\WINDOWS\system32\tyuplu.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF47BB.tmp

Processos criados:

C:\WINDOWS\explorer.exe     

C:\WINDOWS\system32\sto1940.exe

C:\WINDOWS\system32\tyune.exe

C:\WINDOWS\system32\tyuplu.exe

Além de criar processos, arquivos, e alterar parte do registro este vírus também faz com que
 sua maquina passe a obedecer a ordens remotamente,
ou seja, você será invadido sem nem ao menos perceber.
 Então fica o alerta caso receba algum e-mail intitulado Denúncia – Orkut.com  
Ativação de segurança e Autenticidade de profile.
Saiba que se trata de um falso e-mail.