ImageGate: ransomware disfarçado de imagem pode ser enviado pelo Facebook

Um malware que criptografa seus arquivos pode chegar pelo Facebook ou LinkedIn. A empresa de segurança Check Point divulgou na quinta-feira (24) uma técnica que permite disfarçar ransomwares em imagens, que então podem ser enviadas pelas redes sociais. Quando o usuário baixa e executa o malware, os arquivos do computador são protegidos por senha e o criminoso exige o pagamento de um resgate.

Este vídeo ajuda a entender melhor:

O ransomware em questão é o Locky. Segundo o Ars Technica, ele está fazendo vítimas desde o início do ano, exigindo o pagamento de cerca de meio bitcoin (algo em torno de R$ 1,2 mil, na cotação de hoje) para que o usuário tenha acesso aos seus arquivos de volta. O Locky era disseminado por meio de macros em documentos do Word, mas ultimamente tem se espalhado em redes sociais.

A Check Point não entra nos detalhes de como funciona a vulnerabilidade do Facebook e do LinkedIn, já que a falha ainda não foi corrigida. Mas a empresa de segurança diz que os hackers conseguiram “embedar código malicioso em um arquivo de imagem e enviá-lo com sucesso para a rede social”. Isso seria possível devido a um problema de configuração que permite forçar a vítima a baixar o arquivo malicioso, em vez de exibi-lo diretamente na janela do Facebook Messenger como uma imagem, por exemplo.

Quando o usuário tenta baixar a imagem, o que chega é um arquivo com extensão diferente, como .hta. Ao executá-lo, o Locky criptografa as informações no disco do usuário e coloca um arquivo chamado “_Locky_recover_instructions.txt” em todos os diretórios que foram protegidos. O plano de fundo do Windows também é alterado com as instruções de como ter os arquivos de volta.

Não custa avisar o amiguinho: o Facebook não exibe imagens como anexos no Messenger; a foto é mostrada diretamente na janela de chat.