Portal IDG

Phishing tenta enganar o usuário com notificação falsa de compra, instalando o trojan Bifrose no computador da vítima

Nesta quinta-feira (26/07) um novo phishing relacionado a empresas aéreas está circulando pela rede, desta vez os falsários utilizam remetentes da Gol.

O e-mail supostamente enviado pelo endereço “reservas@voegol.com.br” se camufla como uma notificação de compra. Todas as informações são falsas, contudo os links para as tabelas de vôos e site da Gol são verdadeiros.

O link contido na mensagem “Caso desconheça essa compra, cancele imediatamente clicando aqui”, leva o usuário a uma página falsa. Nesta página, enquanto uma imagem de carregamento do site é exibida, o trojan “Bifrose” é instalado na máquina do usuário. Esse malware baixa automaticamente um keylogger (malware para roubar senhas).

O site é hospedado na Nova Zelândia, no portal FootPrint, conhecido por manter muitos códigos maliciosos. Segundo Fernando Fontao, engenheiro de sistemas da WebSense, “O hacker utilizou uma roupagem nova para o golpe, contudo o script utilizado já é conhecido”.

De acordo com Fernando esses malwares normalmente utilizam os arquivos DLL do próprio browser, dificultando a identificação de suas ações por um firewall.

Pela análise do especialista em segurança, Denny Roger, os principais antivírus do mercado como o Kaspersky, McAfee e Norton não identificaram o malware.

Roger recomenda o uso de um bom firewall pessoal, pois o usuário seria avisado que um aplicativo está tentando enviar informações. “Firewalls simples, como o do Windows, não interagem com o usuário. Alertando somente ataques externos, não perguntando a respeito das conexões do computador para a internet”.

Um usuário acostumado a comprar passagens via internet pode ser enganado facilmente. Pois muitas vezes o volume de compras é alto, levando o usuário a clicar rapidamente pensando ter comprado uma passagem errada.