O Facebook e o Twitter sofrem cada vez mais investidas de software malicioso que aproveita a sua enorme popularidade e o tráfego das suas redes. Segundo o relatório sobre a evolução do malware durante o segundo trimestre de 2010 da Kaspersky Lab, durante o período em análise, foram neutralizadas 540 milhões de tentativas de infecção a computadores de utilizadores, o que representa um aumento de quase 100 por cento face ao primeiro trimestre. Mais uma vez, a maioria dos acontecimentos mais importantes esteve relacionada com as botnets, redes piratas criadas para a distribuição massiva de malware, e os ciber-criminosos descobriram uma autêntica mina nas redes sociais.

Já no passado mês de Maio, apareceu um utilitário para criar bots, o TwitterNET Builder, que constrói uma botnet usando uma conta no Twitter como centro de administração.

Para trabalhar com o programa não é necessário saber programação, o que o tornou rapidamente num sucesso. Baptizado como Backdoor.Win32.Twitbot, este malware permite a descarga e execução de ficheiros nocivos, ataques DDoS e visitas aos websites predeterminados pelos delinquentes. Para receber instruções, o bot procura no Twitter por uma determinada conta, em que, na forma de texto, se publicam as ordens do seu dono.

Felizmente, este bot acabou por não se disseminar muito, dado o seu comportamento algo primitivo. As instruções não estão encriptadas, sendo enviadas abertamente através da rede social, pelo que são fáceis de detectar e bloquear com o encerramento da conta. Em meados de Junho, já não restavam quaisquer centros de administração no Twitter, o que diz muito da velocidade de reacção dos serviços de segurança desta rede.

Em qualquer caso, os peritos da Kaspersky Lab insistem que as redes sociais servem como nenhum outro canal para propagar activamente ligações a programas maliciosos. Com efeito, estes especialistas asseguram que, com o tempo, as redes sociais poderão vir a substituir o correio electrónico na tarefa de distribuir programas maliciosos. Os números confirmam a eficácia dos envios massivos nas redes sociais. No decorrer de um ataque levado a cabo na rede Twitter, em apenas uma hora, 2.000 utilizadores seguiram o link enviado.

Mas o ataque mais importante foi realizado em Maio, quando apareceu no Facebook um novo tipo de ataque, relacionado com a introdução da função “like”, que controla a lista de coisas que agradam ao proprietário da conta. Milhares de utilizadores tornaram-se vítimas deste ataque, que consistia em colocar no Facebook um link atractivo (por exemplo “Mundial 2010 em alta resolução” ou “As 101 mulheres mais sexy do mundo”). O link conduzia a uma página ad-hoc, em que um cenário Javascript colocava um botão invisível mesmo por debaixo do cursor. Com efeito, o botão acompanhava o cursor para que, fosse onde fosse que o utilizador clicasse, pressionava inevitavelmente o botão e, como consequência, agregava ao seu “mural” uma cópia do link. O resultado é que a todos os seus amigos parecia que o utilizador gostava deste link (“he likes”ou “she likes”). O ataque cresceu como uma bola de neve, primeiro os amigos seguiam o link, depois os amigos dos amigos e por aí adiante.

Depois de agregar o link ao seu “mural”, o utilizador recebia, efectivamente, uma página onde aparentemente estava o que desejava (um leitor de vídeo que supostamente transmitia as partidas do Mundial ou um portal com fotografias de mulheres). Mas, na mesma página, havia uma campanha comercial que iludia os bloqueadores de janelas pop-up. O autor do esquema recebia pequenas somas de dinheiro por cada visita dos utilizadores à página.

No segundo trimestre, a Kaspersky Lab detectou 157.626.761 tentativas de infecção de computadores através da Internet.