O frustrado sonho de ter o Netflix gratuito.

Nos dias atuais, é raro encontrar alguém que não usa, pelo menos um aplicativo de mensagens instantâneas. O uso massivo de tais aplicativos mostram sua importância para comunicação entre pessoas, que estão cada vez mais conectadas e dependentes da tecnologia.

Entre os diversos aplicativos existentes nessa categoria, o WhatsApp é o mais popular no Brasil (e no mundo). Como uma regra, a popularidade de aplicativos e serviços é aproveitada por cibercriminosos, para ser utilizada como um vetor de propagação de seus ataques.

Tornou-se “rotineiro” a disseminação de supostas promoções de empresas conhecidas, por meio de grupos ou contatos do WhatsApp. Nos últimos dias, uma mensagem de uma suposta promoção de assinatura do Netflix enganou muitos usuários brasileiros. O intuito dessa campanha era direcionar os visitantes para serviços tarifados e até outras supostas promoções, para que os mesmos fornecessem seus dados pessoais, que muito provavelmente seriam usados em outras fraudes.

Observando o endereço incluso na mensagem compartilhada, percebe-se que a letra L (minúscula) no nome “Netflix” foi trocada pela letra I (maiúscula), tendo enganado até usuários com conhecimento avançado. Esse “erro” na grafia do endereço é referente a técnica de typosquatting, comuns em páginas de phishing.

Clicando no link, o usuário era direcionado para um novo endereço (podia variar), contendo o suposto método de ativação da assinatura promocional.

Na próxima “etapa”, uma suposta verificação era feita para tornar o usuário, apto a assinar gratuitamente o serviço. Esse método foi usado para transmitir veracidade no processo.

Uma olhada no código HTML da página era possível identificar a estrutura dessa “verificação”. Um arquivo GIF foi usado como “carregador” dessa conferência.

Outro mecanismo usado para aumentar a “credibilidade” foi a utilização de um certificado de segurança (protocolo HTTPS). Nos dados do certificado é possível identificar dezenas de nomes de DNS alternativos diferentes, relacionados ao requerente.

Analisando um pouco mais o código HTML, dois arquivos em JavaScript chamaram a atenção. Um destina-se a identificar localização geográfica (geoip.js) com base no endereço IP e outros parâmetros, como estado e cidade.

Um outro código ofuscado era o responsável (será mostrado adiante) por acionar os eventos e mensagens exibidas da página.

Concluída a “verificação”, o usuário deveria compartilhar um convite (link) da suposta promoção, com contatos ou em grupos do WhatsApp, para obter a “ativação” da conta gratuita do serviço.

O código desofuscado trouxe a tona alguns eventos contidos nesse golpe, logo em suas primeiras linhas:

  1. O compartilhamento era feito ao acionar o manipulador de protocolo do aplicativo, que estava definido em uma variável do tipo string.
  2. A mensagem compartilhada em forma textual era definida por uma string. Essa string era composta por um texto fixo e um link gerado através de cálculos, usando métodos do objeto Math.
  3. O link que compunha a string ficava armazenado em um array. As possibilidades de endereços que iriam compor a string eram somente duas.

Ao tentar “ativar” a suposta assinatura do serviço, antes mesmo de atingir o número de compartilhamentos exigido, uma mensagem era exibida, informando a quantidade de convites necessários a serem compartilhados (1) e os que já tinham sido (2). Esse valor ficava armazenado em um “contador” (variável para contabilizar os convites enviados).

No entanto, se o número de convites enviados fosse maior que 3 (1), o botão para ativação era desbloqueado e visivelmente notado, devido a mudança de cor (2). Logo em seguida, uma mensagem surgia, indicando que o processo deveria ser finalizado a seguir (3).

Ao clicar no botão “Ok”, um endereço especificado no código JavaScript (1), era o ponto de partida para uma série de redirecionamentos.

A falsa promoção também era destinada a falantes de outros idiomas, como inglês e espanhol.

Porém, o indício de que o golpe foi criado (ou teve a participação direta) de brasileiros é a referência encontrada, a nomes e siglas de estados do país.

Esse golpe tinha como objetivo direcionar para sites com finalidades diversas como:

  • Serviços tarifados (ou também chamados de premium):

  • Download de aplicativos desconhecidos:

  • Outras supostas promoções com intuito de coletar dados pessoais:

  • Geração de tráfego de acesso para outros sites:

O que poderia ser uma boa notícia para milhões de usuários, considerando a atual popularidade do Netflix, tratava-se de mais um golpe usando como “isca”, promoções com nomes de empresas conhecidas. Se a cultura do “vejo e já clico” não fosse tão “esmagadora” perante os usuários, muitos não seriam vítimas dessa campanha. Simples ações como, pesquisar informações em fontes oficiais e/ou digitar o endereço do site antes de acessá-lo, poderiam ser eficientes para mitigar a disseminação de incidentes similares.

Grato pela contribuição do colaborador Juliano Sato.

Colaborador do Malwareverse Brasil.

2 comments On O frustrado sonho de ter o Netflix gratuito.

Leave a reply:

Your email address will not be published.