Campanha mira usuários de sistema da Apple com alertas falsos sobre instalação do Flash Player.

A fabricante de antivírus Intego alertou que usuários de macOS, da Apple, podem se deparar com páginas maliciosas ao realizar pesquisas que usam termos encontrados em títulos de vídeos populares. Os sites tentam distribuir um vírus conhecido como “Shlayer”.

As páginas incluem palavras usadas nos títulos dos vídeos do YouTube, mas estão fora do YouTube. Por essa razão, quem utiliza a pesquisa geral do Google pode acabar vendo esses links nos resultados. Quando clicado, o link leva o usuário para uma página que oferece um suposto download do Flash Player.

Embora tenha sido encontrado no Google, a Intego explicou que o truque pode funcionar em qualquer buscador. Hackers recorrem a diversas manobras para ocultar o redirecionamento, desviando de filtros que normalmente eliminam páginas sem conteúdo real dos resultados.

“Pode até não ser uma tarefa impossível, mas é certamente um desafio considerável tentar evitar que todo o conteúdo prejudicial apareça nos resultados de busca”, disse a empresa.

A Intego não informou números específicos sobre vítimas. Como os especialistas só conseguiram encontrar os links com pesquisas muito específicas (exatamente iguais aos títulos dos vídeos), é difícil saber a dimensão do sucesso (ou fracasso) que os criminosos tiveram na tentativa de manipulação dos resultados de busca.

Entenda o vírus ‘Shlayer’

O Shlayer é um programa malicioso conhecido. Um relatório publicado pela Kaspersky em janeiro apontou que essa família de pragas digitais já apresentou mais de 32 mil variações e é responsável por 30% de todos os alertas gerados pelos programas de segurança da empresa no Mac.

De acordo com a Kaspersky, esse vírus costuma ser distribuído em downloads piratas de softwares comerciais e conteúdo de entretenimento, como séries de TV e retransmissões não autorizadas de eventos esportivos.

Os links que levam ao Shlayer (sempre por meio de um download falso do Flash Player) muitas vezes aparecem em propagandas, já que os responsáveis pela praga digital pagam comissões elevadas pela exibição dos anúncios. Isso atrai sites de conteúdo ilícito, que frequentemente têm dificuldade para conseguir anunciantes.

Apesar de bastante comum, o Shlayer não é tecnicamente sofisticado. O uso recorrente do Flash Player no golpe também é uma anomalia, pois muitos criadores de vírus testam iscas diferentes ao longo do tempo para aumentar o número de vítimas.

Criminosos faturam com publicidade

No caso dos buscadores, o golpe é realizado por meio da confecção de páginas de internet contendo sequências de palavras usadas em vídeos populares do YouTube. Quando a vítima pesquisa essas mesmas sequências de palavras, a página maliciosa pode aparecer entre os resultados.

Se o link malicioso aparecer nos resultados e for clicado, a página inicia redirecionamentos e acaba exibindo uma mensagem sugerindo a instalação do Flash Player. O aviso é totalmente falso, já que a página não tem nenhum conteúdo em formato Flash.

Tendo a vítima chegado à página por uma propaganda em um site de conteúdo ilegítimo ou por um resultado de pesquisa, o ataque procede da mesma forma depois que a mensagem da instalação do Flash Player é exibida.

Nos casos identificados pela Intego, o arquivo não tinha assinatura digital. Esses arquivos são normalmente bloqueados pelo macOS, o que exige que a vítima use o Controle + clique (o “clique direito” nos sistemas da Apple) e selecione a opção “Abrir”.

Esse não é o método normal para executar apps no macOS, mas é necessário inclusive para alguns programas legítimos, como o sistema da Receita Federal para declaração do imposto de renda. Por estarem habituados a essa forma de abrir aplicativos, é possível que alguns usuários não percebam o risco.

Se a vítima seguir as instruções, o Flash Player realmente será instalado no sistema para disfarçar o golpe. Também será instalado um programa que exibe anúncios publicitários indesejados durante o uso do computador, atrapalhando a produtividade e possivelmente roubando dados pessoais.

Com isso, os criminosos podem mostrar anúncios publicitários diretamente no computador da vítima e ganhar dinheiro. Os anunciantes também podem ser vítimas da fraude, já que não sabem que seus produtos estão sendo divulgados dessa maneira. Assim, o dinheiro que seria pago para a veiculação da peça em um site, por exemplo, acaba irrigando a atividade criminosa.

Fonte: G1

Imagem:Flyer vetor criado por macrovector – br.freepik.com