A unidade de cibersegurança da Palo Alto Networks detectou uma nova campanha criminosa envolvendo uma falsa rede virtual privada (VPN). A fraude disfarça um malware de um software que promete navegação segura e anônima na internet.
O caso foi encontrado em julho de 2024 e envolve uma tática conhecida como “envenenamento de SEO”. Nela, especialistas em mecanismos de busca conseguem otimizar sites falsos ou abusar do sistema de anúncios nas páginas de resultados para colocar páginas fraudulentas no topo das pesquisas.
Em tempos de bloqueio no Brasil da rede social X, o antigo Twitter, muitos usuários podem apelar para uma VPN para acessarem a plataforma — mesmo essa ação sendo considerada ilegal e passível de multa pelo ministro Alexandre de Moraes, do Supremo Tribunal Federal (STF).
Neste caso, fora o risco jurídico, é preciso também tomar cuidado com ofertas fraudulentas como essa.
A infecção por falsa VPN
Quem procura pela VPN Global Protect no Google, por exemplo, pode se deparar com sites falsos que podem aparecer no lugar ou até acima dos links originais para esse tipo de programa. Normalmente, o golpe envolvia apenas phishing em emails falsos, mas evoluiu para resultados de buscadores.
Ao clicar no site, você é direcionado para um botão que promete o download gratuito do programa, que pertence à própria Palo Alto Networks. O site até simula a página original da empresa, mas alguns navegadores como o Google Chrome podem sinalizar antecipadamente que ele é inseguro.
Na realidade, o programa instalado é o WikiLoader. Esse é um programa do tipo loader, que não chega a ser nocivo sozinho. Ele na verdade permite o carregamento de outros malwares de vários formatos, como trojans bancários e spywares que roubam credenciais de acesso e dados das vítimas.
A falsa VPN instalada e descompactada inclui centenas de arquivos na pasta, vários deles ocultos. O GlobalProtect64.exe é quem, se clicado, realiza a implementação do WikiLoader na máquina e inicia o processo de infecção.
