Num boletim anunciado nesta sexta-feira (22/06), o Sans Institute identificou um site que, misteriosamente, levava os usuários a se infectarem com um malware.

Parte do mistério, segundo Bojan Zdrnja do ISC (Sans' Internet Storm Center), se dá pelo fato de o site não utilizar a técnica, quase que universal, de iframes. Essa manobra permite que o conteúdo malicioso seja trazido de um outro site, que é carregado em um “pedaço” determinado da página.

“É uma engenharia puramente social, o usuário é encorajado a baixar o malware”, afirma Bojan. O site, relacionado ao game RuneScape, mostra alguns ícones quebrados e links para uma página que informa que a versão do Macromedia Flash Player, está desatualizada. Após a notícia, o usuário é direcionado para uma página réplica do Shockwave Player Download Center. Todos os links levam a páginas da Adobe, exceto o link “install”.

A página utiliza ainda um JavaScript que desabilita o botão direito do mouse. Os usuários baixam o malware por um instalador, dificilmente detectado pelos antivírus.

Os golpistas não chegaram a se preocupar com o endereço nada parecido com o da Adobe, pelo fato de a página parecer genuína.

Segundo Bojan, os usuários têm de treinar sua atenção, checando todos os elementos do site.