"PimpMyWindow", um adware brasileiro Não é só de trojans bancários que vivem os cibercriminosos brasileiros. Alguns deles resolveram diversificar os 'negócios' investindo na disseminação de outro tipo de programa malicioso através das redes sociais: um adware chamado "PimpMyWindow" está infectado muitos usuários brasileiros, prometendo o recurso de "mudar a cor do seu perfil" no Facebook mas que na verdade irá é criar uma rede de "clique fraude", exibindo anúncios invasivos no navegador das vítimas, roubando dinheiro de programas de links patrocinados como o AdSense, do Google. Um adware é um programa malicioso criado para exibir anúncios, muitas vezes intrusivos. Alguns deles redirecionam as buscas para sites promocionais, sequestrando o navegador ou a página inicial. Geralmente são embutidos em softwares gratuitos, como uma forma 'indireta' de pagar pelo uso do programa através da exibição desses anúncios. A disseminação de adware em ataques cibernéticos é bastante comum entre os cibercriminosos, mas trata-se de uma nova prática entre cibercriminosos brasileiros. A adoção de tal técnica de monetização mostra uma evolução dos ataques em redes sociais. O "PimpMyWindow" é oferecido no domínio pimpmywindow.net, oferece um plugin para 3 navegadores: Internet Explorer, Chrome e Firefox, Os instaladores do adware foram construídos com o Crossrider, uma plataforma legítima de desenvolvimento de extensões e plugins para diferentes navegadores. Foi com o Crossrider que cibercriminosos do leste europeu desenvolveram o Worm Lilyjade, em Maio do ano passado. Depois de instalado no navegador o plugin malicioso irá usar o perfil das vítimas para disseminar mensagens automaticamente para seus contatos no Facebook: O ponto mais interessante desse adware é que ele realmente pode alterar a cor das páginas no navegador Chrome, configurando uma cor de background. Porém como veremos nesse artigo, para obter tal funcionalidade a vítima irá comprometer toda sua privacidade, colocando seus dados em risco. Logo depois de instalado o adware irá exibir iframes de links patrocinados do Adsense em sites populares como Ask.fm, Orkut, Youtube, Twitter, além do Facebook: O adware ainda injeta as propagandas quando o usuário visita sites HTTPS e também em páginas de bancos brasileiros, como a Caixa, Banco do Brasil e Itaú: Se você instalou o plugin em seu navegador, sugerimos que o desinstale imediatamente. Os cibercriminosos podem interceptar seus dados durante a navegação e criar redirecionamentos maliciosos através desses plugins, além da posssibilidade de roubar suas credenciais. Abra o navegador e procure pela extensão chamada "PimpMyWindow" ou "MudeACorDoSeuPerfil" e depois clique em remover: Detalhes técnicos O adware possui instaladores para o Chrome (MD5: 62d470f0538b5449ef3b301eed9574c7), Firefox (MD5 3cb85393252d551127c2e368d42cafff) e Internet Explorer (MD5: 70110b291a13edc2ebefcc85f16c0318). Para o Firefox e Chrome, o adware se instalará com uma extensão (.xpi e .crx). Para injetar os iframes de propaganda no Internet Explorer, o adware irá registrar um BHO com CLSID randômico, como esse: BHO: CrossriderApp0020404 - {11111111-1111-1111-1111-110211041104} - C:\Arquivos de programas\PimpMyWindow\PimpMyWindow.dll Irá ainda criar os seguintes arquivos: %ProgramFiles%\PimpMyWindow\ButtonUtil.dll %ProgramFiles%\PimpMyWindow\PimpMyWindow-bg.exe %ProgramFiles%\PimpMyWindow\PimpMyWindow.dll %ProgramFiles%\PimpMyWindow\PimpMyWindow.exe %ProgramFiles%\PimpMyWindow\PimpMyWindow.ico %ProgramFiles%\PimpMyWindow\PimpMyWindow.ini %ProgramFiles%\PimpMyWindow\PimpMyWindowGui.exe %ProgramFiles%\PimpMyWindow\PimpMyWindowInstaller.log %ProgramFiles%\PimpMyWindow\Uninstall.exe Depois de instalado irá se conectar a uma URL e baixar um .js de configuração diferente para cada navegador. Nele há instruções de quais páginas web deverão ser injetadas pelo iframe, inclusive as páginas de banco: também a mensagem de disseminação que será enviada pelo perfil das vítimas através da rede social: Para gerenciar as campanhas de links patrocinados, o cibercriminoso registrou dois domínios responsáveis pelo balanceamento dos acessos: pimpmywindowads.net e faillure.com.bz. O script ainda irá configurar a cor de fundo para navegadores como o Chrome, assim o usuário verá que o "plugin" funciona sem aparentes implicações. Como já aconteceu no passado, campanhas maliciosas em redes sociais prometendo recursos não oferecidos nativamente tem o poder de atrair muitos usuários incautos, que acabam se tornando vítimas ao instalar o aplicativo malicioso, que será mais uma forma dos criminosos ganharem dinheiro fácil. fonte: kaspersky Brasil
aqui: brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/pimpmywindow-um-adware-brasileiro
Puts, tou pensando em fazer um plugin que realmente troque a cor do facebook mas sem esses problemas de vírus e tal. :/
Muitos caem nessa coisa. Para mim nem precisava existir virus mas tem humano que são Burros ao extremo =/
Eu ria quando vi as contas no facebook mandando essas propagandas, bando de gente burras que acreditam nessas bobagens e o pior que depois não sabe porque pega virus.
Tem gente que acredita nisso...Até o facebook Brasil postou que o facebook só possui uma cor que essas modificações eram vírus (exteto o complemento do Google)
