Encurtamento distribui link malicioso: não há texto, somente o endereço.
Um novo worm está se espalhando no Twitter pelo serviço de encurtamento de URLs do Google, o “goo.gl”, para distribuir links maliciosos. As mensagens no microblog apresentam apenas um link, sem texto algum.
O link malicioso promove redirecionamento em cadeia, que leva os usuários do Twitter que clicaram na URL para uma página que sugere a instalação do “Security Shield”, um falso antivírus.
A pagina usa a mesma técnica de ofuscamento da versão anterior (Security Tool), dificulta a identificação do código malicioso por implementação de chaves de criptografia RSA no JavaScript da página.
Ao acessar o site malicioso, um alerta surgirá informando que a máquina está executando aplicações suspeitas e pede que o usuário aceite um “escaneamento”. Clicando no OK, o “escaneamento” começa e as “infecções” passam a ser reportadas.
O usuário receberá instruções para remover as ameaças presentes em seu computador. Para que isso ocorra, é preciso baixar e instalar o “Security Shield”, uma aplicação falsa que se passa por um antivírus. A interface do programa é traduzida conforme o idioma configurado no computador do internauta.
O antivírus falso usa criptografia RSA no site, muito comuns em páginas maliciosas. Estas criptografia podem ser Base64 Decode (trivial) ou RSA com Modulus. O alerta é da Kaspersky Lab, empresa de segurança da internet.
