IDG Now (BR): Malware para navegadores se espalha via FB e escapa dos antivírus

O Crossrider é um framework legítimo em Javascript que implementa uma API unificada (Interface de Programação de Aplicativos) para desenvolver complementos dos navegadores Firefox, Chrome e Internet Explorer. Essa API permite que desenvolvedores escrevam um código para rodar em diferentes navegadores e, consequentemente, em diferentes sistemas operacionais.

O framework ainda está em uma versão beta e seus criadores planejam adicionar suporte para o navegador Safari em breve. “É muito raro analisar um arquivo malicioso escrito na forma de plugin para vários navegadores. É ainda mais raro se deparar com plugins criados usando códigos multiplataforma", diz o especialista em malware Sergey Golovanov, do Kaspersky Lab, no blog da empresa, na última segunda-feira.

O novo malware recebeu o nome de LilyJade e está sendo vendido em sites ocultos de discussão por 1000 dólares. Seu criador afirma que o aplicativo pode infectar também navegadores que rodam em Linux ou Mac. Como não há arquivos executáveis nele, nenhum antivírus pode detectá-lo.

O malware parece ter sido criado para atuar como um falso clique capaz de fraudar propagandas em sites como Yahoo, YouTube, Bing/MSN, AOL, Google e Facebook. Quando os usuários clicam no link dessas propagandas, o criador do malware ganha dinheiro através de programas afiliados. Para se disseminar, o LilyJade utiliza o controle que tem sobre os navegadores infectados, aproveitando-se de sessões ativas do Facebook para enviar mensagens de spam em nome desses usuários autenticados.

Os links inclusos nas mensagens de spam que o LilyJade envia por meio do Facebook direcionam os usuários a sites responsáveis por rodar o código malicioso do malware. Pacotes como esse se aproveitam da vunerabilidade de softwares desatualizados - normalmente plugins como Java, Flash Palyer ou Adobe Reader - com o intuito de infectar computadores com o malware.