Os pesquisadores da ESET descobriram um cavalo de tróia desenvolvido para engenharia social, que conseguiu roubar as credenciais de login de mais de 16 mil usuários do Facebook. O trojan 'PokerAgent' tem como alvo o Zynga Poker, o site de poker online mais popular do mundo, que hospeda o Texas Hold'Em Poker App para Facebook. De acordo com a AppData, o jogo tem mais de 35 milhões de usuários ativos mensais.
Especificamente, o malware foi projetado para roubar informações de login dos usuários do Facebook e associá-los com as informações do usuário para o jogo de poker online. A ESET começou a estudar o cavalo de tróia em questão no início de 2012. No entanto, graças à detecção pró-ativa desta ameaça, os usuários foram protegidos contra o cavalo de tróia, já em Dezembro de 2011.
Devido ao "PokerAgent" ter sido mais ativo em Israel, o ESET contatou o CERT deste país, bem como a polícia israelense no início de 2012. Por causa da investigação em curso, o ESET não foi capaz de divulgar publicamente quaisquer detalhes sobre a ameaça. No entanto, além de trabalhar com a equipe israelense do CERT, o Facebook também foi notificado e tomou imediatamente medidas preventivas para proteger seus membros e impedir futuros ataques a contas sequestradas.
O que aconteceu foi que o atacante usou o malware para ter acesso às credenciais de login dos usuários do Facebook, acessar a sua pontuação de jogo, informações sobre o número de cartões de crédito armazenados em suas configurações do Facebook, e sua capacidade de comprar mais créditos online. Funcionalidades do jogo permitiram que cartão de crédito e pagamento via PayPal pudesse ser usado para aumentar o valor do chip.
Nos casos em que o usuário não estava usando um cartão de crédito ou teve um resultado de jogo insatisfatório, o computador infectado recebeu instruções para infectar o perfil da vítima no Facebook com um link que direciona para um site de phishing. Esse site, então agiu direta ou indiretamente, atraindo amigos do jogador a um site parecido com a página inicial do Facebook (oficial), onde, ao inserir suas credenciais de login, o atacante colhia suas informações.
Além disso, a fim de obter as credenciais de login, o atacante usou um "exército" botnet de 800 computadores, todos os infectados e controlados pelo atacante usando um servidor de comando e controle.
Uma maneira de se proteger contra um ataque de phishing é prestar atenção para o endereço da página ou URL. "Para se proteger contra ataques que dependem de métodos de engenharia social, ter uma boa solução de segurança não é o suficiente; os usuários devem estar atentos a quaisquer manobras do tipo", disse Robert Lipovsky, líder de segurança e inteligência do ESET. "O usuário poderia reconhecer a página de login falsa do Facebook, se verificada a URL do site."
Na sequência dos acontecimentos, as estimativas do ESET sobre o Trojan 'PokerAgent' são de que ele teria potencialmente obtido acesso para um total de 16.194 credenciais de login e que, para além de Texas Hold'Em Poker no Poker Zynga, outras aplicações Facebook poderiam ter sido igualmente infectadas.
Vale destacar que o número de ameaças que utilizam o Facebook está crescendo rapidamente. Mais de 11,5 milhões de americanos foram vítimas de fraude de identidade em 2011, de acordo com a Javelin Strategy & Research. A mídia social é também um relevante fator de crescimento no cenário de ameaças, com quase cinco por cento dos usuários do Facebook relatando alguma ocorrência de roubo de identidade.
Saiba Mais:
[1] Help Net Security http://www.net-security.org/malware_news.php?id=2388