Novo mapeamento conduzido pela Kaspersky Lab traz um alerta às pessoas que utilizam o Google como buscador para procurar links de download de software popular.

Segundo relatou a empresa, ciberciminosos brasileiros estão utilizando malwares disfarçados nos resultados trazidos em pesquisas por programas específicos, inclusive em links patrocinados, para infectar computadores com trojans bancários e roubar usuários.

O Google está entre as estratégias utilizadas desse atacantes, que compram campanhas de links patrocinados para ter seus sites nas primeiras colocações das buscas. Com isso, a chance de infectar uma vítima torna-se muito maior. Segundo a Kaspersky Lab, a campanha envolve principalmente os software populares: “Avast”, “Firefox”, “Skype”, “Chrome”, “Flash Player”, “Java”, “WinRAR.

Um desses sites falsos é o <jadownload.com>, que aparece em destaque nas colocações, como mostramos abaixo:

Ao realizar a busca por esses termos, os links listados nos buscadores redirecionam o usuário para esse site falso.
Caso o usuário tente fazer o download de algum software, ele será direcionado para uma página com a descrição e download do programa.

De acordo com a empresa de soluções de segurança, todos os software listados estão hospedados em uma conta do Google Code, serviço legítimo que está sendo usado pelos cibercriminosos para hospedar os instaladores. Quando baixado, o arquivo funciona como um instalador real do software, porém empacotado com trojans bancários embutidos:

Uma peculiaridade é que os trojans são assinados digitalmente para passarem despercebidos. Para tanto, os criminosos utilizam um certificado digital válido, emitido pela Verisign em nome de “Jander Pinto da Silva”. Segundo a Kaspersky Lab, esta não é a primeira vez que cibercriminosos do Brasil lançam mão de tal prática para evitar que o software malicioso seja descoberto. Esse certificado digital foi usado para assinar mais de 50 trojans bancários, revela a empresa.

Para evitar cair em golpes desse tipo, os usuários devem buscar sempre fazer download de programas em sites oficiais dos distribuidores, evitando assim cair em armadilhas trazidas por links desconhecidos.

A Kaspersky informa que notificou a Verisign, que revogou o certificado digital e também alertou o Google sobre a existência de tais arquivos no Google Code e da campanha de links patrocinados. O trojan é detectado e bloqueado em todos os produtos da companhia com o veredito Trojan-Banker.Win32.Lohmys.a.

Imagens: Kaspersky Lab