Blog da Kaspersky

"PimpMyWindow", um adware brasileiro

Publicado: 
Mon, 01/07/2013
ShareThis

Não é só de trojans bancários que vivem os cibercriminosos brasileiros. Alguns deles resolveram diversificar os 'negócios' investindo na disseminação de outro tipo de programa malicioso através das redes sociais: um adware chamado "PimpMyWindow" está infectado muitos usuários brasileiros, prometendo o recurso de "mudar a cor do seu perfil" no Facebook mas que na verdade irá é criar uma rede de "clique fraude", exibindo anúncios invasivos no navegador das vítimas, roubando dinheiro de programas de links patrocinados como o AdSense, do Google.

Um adware é um programa malicioso criado para exibir anúncios, muitas vezes intrusivos.  Alguns deles redirecionam as buscas para sites promocionais, sequestrando o navegador ou a  página inicial. Geralmente são embutidos em softwares gratuitos, como uma forma 'indireta' de pagar pelo uso do programa através da exibição desses anúncios.

A disseminação de adware em ataques cibernéticos é bastante comum entre os cibercriminosos, mas trata-se de uma nova prática entre cibercriminosos brasileiros. A adoção de tal técnica de monetização mostra uma evolução dos ataques em redes sociais. O "PimpMyWindow" é oferecido no domínio pimpmywindow.net, oferece um plugin para 3 navegadores: Internet Explorer, Chrome e Firefox,

Os instaladores do adware foram construídos com o Crossrider, uma plataforma legítima de desenvolvimento de extensões e plugins para diferentes navegadores. Foi com o Crossrider que cibercriminosos do leste europeu desenvolveram o Worm Lilyjade, em Maio do ano passado.

Depois de instalado no navegador o plugin malicioso irá usar o perfil das vítimas para disseminar mensagens automaticamente para seus contatos no Facebook:

O ponto mais interessante desse adware é que ele realmente pode alterar a cor das páginas no navegador Chrome, configurando uma cor de background. Porém como veremos nesse artigo, para obter tal funcionalidade a vítima irá comprometer toda sua privacidade, colocando seus dados em risco.

Logo depois de instalado o adware irá exibir iframes de links patrocinados do Adsense em sites populares como Ask.fm, Orkut, Youtube, Twitter, além do Facebook:

Google:

Gmail:

Hotmail:

O adware ainda injeta as propagandas quando o usuário visita sites HTTPS e também em páginas de bancos brasileiros, como a Caixa, Banco do Brasil e Itaú:

Se você instalou o plugin em seu navegador, sugerimos que o desinstale imediatamente. Os cibercriminosos podem interceptar seus dados durante a navegação e criar redirecionamentos maliciosos através desses plugins, além da posssibilidade de roubar suas credenciais. Abra o navegador e procure pela extensão chamada "PimpMyWindow" ou "MudeACorDoSeuPerfil" e depois clique em remover:

Usuários do Kaspersky Antivirus estão protegidos contra esse adware, que é detectado e bloqueado com o AdWare.Win32.PimpMyWindow.

 

Detalhes técnicos

O adware possui instaladores para o Chrome (MD5:  62d470f0538b5449ef3b301eed9574c7), Firefox (MD5 3cb85393252d551127c2e368d42cafff) e Internet Explorer (MD5: 70110b291a13edc2ebefcc85f16c0318).

Para o Firefox e Chrome, o adware se instalará com uma extensão (.xpi e .crx). Para injetar os iframes de propaganda no Internet Explorer, o adware irá registrar um BHO com CLSID randômico, como esse:

BHO: CrossriderApp0020404 - {11111111-1111-1111-1111-110211041104} - C:\Arquivos de programas\PimpMyWindow\PimpMyWindow.dll

Irá ainda criar os seguintes arquivos:

%ProgramFiles%\PimpMyWindow\ButtonUtil.dll
%ProgramFiles%\PimpMyWindow\PimpMyWindow-bg.exe
%ProgramFiles%\PimpMyWindow\PimpMyWindow.dll
%ProgramFiles%\PimpMyWindow\PimpMyWindow.exe
%ProgramFiles%\PimpMyWindow\PimpMyWindow.ico
%ProgramFiles%\PimpMyWindow\PimpMyWindow.ini
%ProgramFiles%\PimpMyWindow\PimpMyWindowGui.exe
%ProgramFiles%\PimpMyWindow\PimpMyWindowInstaller.log
%ProgramFiles%\PimpMyWindow\Uninstall.exe

Depois de instalado irá se conectar a uma URL e baixar um .js de configuração diferente para cada navegador. Nele há instruções de quais páginas web deverão ser injetadas pelo iframe, inclusive as páginas de banco:

e também a mensagem de disseminação que será enviada pelo perfil das vítimas através da rede social:

Para gerenciar as campanhas de links patrocinados, o cibercriminoso registrou dois domínios responsáveis pelo balanceamento dos acessos: pimpmywindowads.net e faillure.com.bz. O script ainda irá configurar a cor de fundo para navegadores como o Chrome, assim o usuário verá que o "plugin" funciona sem aparentes implicações.

Como já aconteceu no passado, campanhas maliciosas em redes sociais prometendo recursos não oferecidos nativamente tem o poder de atrair muitos usuários incautos, que acabam se tornando vítimas ao instalar o aplicativo malicioso, que será mais uma forma dos criminosos ganharem dinheiro fácil.

Rocket Fuel