Read, hack, repeat

[Especial] O presente que você NÃO pediu ao Papai Noel

Ramon de Souza

Era 9 de dezembro de 1987. As pessoas se aglomeravam nas lojas de departamentos em busca de enfeites e presentes para seus entes queridos. Estávamos próximos de uma das datas comemorativas mais felizes e importantes do mundo: o Natal! Época de agradecer, se reunir com a família e se esquentar em frente da lareira — é claro, para os países que enfrentam o inverno durante essa época do ano.

Porém, algo estranho acontecia nos computadores alheios. Alguns internautas azarados começaram a receber emails de destinatários desconhecidos, tendo, como assunto, a frase “Let this exec run and enjoy yourself!” (ou “Deixe este executável rodar e aproveite!”, em tradução livre). Ao executar o programa CHRISTMA EXEC, o usuário visualizava uma árvore de Natal em caracteres ASCII, junto com a mensagem “Um feliz Natal e meus melhores votos para o próximo ano”.

Fofo, não é mesmo? Uma pena que esse “cartão de Natal virtual” foi, na verdade, o primeiro malware natalino registrado na história da computação. Ele posteriormente ficou conhecido como Christmas Tree EXEC e, segundo seu criador — um estudante anônimo da Universidade Clausthal de Tecnologia, na Alemanha — não foi projetado com finalidades malignas. Tudo o que ele queria era, de fato, desejar um Feliz Natal aos seus amigos.

Acontece que, da forma como o programa foi desenhado, ele automaticamente lia os arquivos NAMES e NETLOG (nos quais computadores IBM armazenavam seus contatos) e enviava o email de forma automática para toda a sua agenda. As redes da época (como a Bitnet) enviavam uma mensagem de volta ao remetente para cada arquivo que passava sobre um nódulo; dependendo da quantidade de emails enviados, o sistema da vítima congelava rapidamente, impedindo-o de trabalhar.

Presente desagradável

Esse é apenas um exemplo de malware que se espalhou durante a época de Natal. Como de praxe, os criminosos cibernéticos gostam de explorar datas comemorativas para a disseminação de campanhas de phishing e arquivos maliciosos. Em 1999, por exemplo, foi a vez do WM97/Melissa-AG (também conhecido como Prilissa) infectar documentos do Microsoft Office Word, espalhando-se via email.

A mensagem — também de remetentes desconhecidos — trazia simplesmente o recado “Este documento é muito importante e você PRECISA ler isto!”. Ao abrir o DOC em anexo, a carga útil era instalada na máquina, permanecendo em silêncio até o dia 25 de dezembro. Nessa data, uma mensagem críptica surgia na forma de um popup para assustar o internauta.

Para piorar, blocos coloridos eram “pichados” aleatoriamente caso você estivesse com o Word aberto. Por fim, diferente do Christmas Tree EXEC (que não causava grandes danos ao usuário final), o Prillissa tentava formatar o diretório-raíz do disco rígido na próxima vez que a máquina fosse ligada.

Uma "Novidad"

Em 2000 não foi diferente. As celebrações natalinas foram interrompidas pelo W32/Navidad — ou simplesmente Navidad —, que chegava via email disfarçado de um singelo cartão de Natal. Ao abrir o arquivo, ícones de olhos azuis surgiam na bandeja do sistema do Windows, mostrando que o usuário havia sido infectado; passar o mouse sobre tais ícones criava popups com diferentes mensagens zombando do internauta.

Enquanto isso, nas entranhas do sistema operacional, o Navidad alterava diversas chaves do registro do Windows, tornando impossível a execução de qualquer arquivo EXE. Para se replicar, o malware usava a biblioteca MAPI32.DLL e “se enviava” para a lista de contatos da vítima.

Papai Noel ou ativista político?

Mais um suposto cartão natalino que trazia uma surpresinha desagradável em seu interior. Em 2001, quem atacou foi o vírus Maldal, que tinha o objetivo de disseminar ideais políticos aproveitando a data comemorativa. A vítima recebia, via email, uma mensagem bastante carinhosa: “Olá! Eu não posso descrever meus sentimentos, mas tudo o que eu posso dizer é feliz Ano Novo!”. Os primeiros disparos foram detectados por volta do dia 19 de dezembro.

Ao abrir o anexo Christmas.exe, um cartão de Natal — bem bonitinho, diga-se de passagem — era exibido na tela, retratando o Papai Noel em seu trenó. Acontece que, por baixo dos panos, o vírus alterava chaves do registro do Windows para ser iniciado junto com o sistema, desabilitando o teclado e apagando todo o diretório Windows System. Ademais, ele também alterava a página inicial do Internet Explorer para exibir um site que criticava o presidente George Bush.

Como se não bastasse, ao visitar a página em questão, um código em Javascript era executado automaticamente, explorando uma vulnerabilidade no Microsoft VM ActiveX para apagar ainda mais conteúdos do seu disco rígido. O Maldal era capaz de infectar até mesmo clientes mIRC que estivessem instalados no computador, enviando o link para o site malicioso sempre que você entrasse em uma nova sala.

Chaminé? Não, porta de trás

Algum engraçadinho húngaro disparou, no Natal de 2004, o W32/Zafi.D. Ele também aterrissou no email das vítimas com um suposto cartão natalino — a diferença é que ele tinha capacidade de se customizar em diferentes idiomas (russo, noruguês, polonês, alemão, francês, italiano, mexicano, espanhol e até português), levando como base o domínio do email da vítima a ser alvejada.

Quem abrisse o presentinho do mal acabaria sendo infectado com uma carga útil que, além de exterminar soluções de segurança (firewalls e antivírus), também inutilizada o Gerenciador de Tarefas, o Editor de Registros e outros recursos cruciais do Windows. Por fim, um backdoor na porta 8181 era criado, mas não para a entrada do Papai Noel, e sim para a execução de outros códigos maliciosos.

Para os safadinhos...

No Natal de 2007 também foi registrada uma campanha maliciosa, mas ela atingiu apenas os safadinhos que estavam interessados em ver vídeos sensuais de uma atriz vestida como Mamãe Noel. O email chegava com vários assuntos sugestivos, incluindo “Quer ver algo quente neste Natal?” e “O Papai disse, Ho Ho Ho”. As mensagens também eram variadas, mas todas incentivavam o internauta a clicar no mesmo link.

Ao abrir o site em questão, você visualizava uma página chamada “Mrs. Claus”, que prometia um pacote gratuito de vídeos de modelos fazendo strip tease com a temática natalina. Ao clicar no botão de download, porém, o que o usuário recebia era uma cópia do malware W32/Dorf-AE, que servia como porta de entrada para outros pacotes maliciosos e trojans.

Tome cuidado neste Natal!

Existem diversas outras campanhas que continuaram sendo disseminadas ao longo dos próximos anos — em 2012, por exemplo, um phishing usava como temática um suposto convite de festa para infectar as máquinas com o TROJ_ARTIEF.RTN, que explorava uma vulnerabilidade no Windows Common Controls para criar um backdoor.

Mais recentemente, em 2014, outra campanha via email disseminou o MerryX, que se disfarçava como cartão postal para instalar uma carga maliciosa capaz de roubar dados do computador.

É extremamente comum que criminosos se aproveitem de datas comemorativas para aplicar golpes. Por isso, neste Natal, tome muito cuidado com promoções que parecem boas demais para serem verdadeiras, desconfie de emails com anexos ou links suspeitos (mesmo se forem enviados por contatos que você conheça) e fique atento para as páginas falsas que simulam lojas virtuais famosas.

A The Hack deseja a todos um feliz Natal!


Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.