Autor: Lionel Payet
A popularidade do Netflix tem crescido de forma acentuada desde a sua criação em 1997. A empresa lançou recentemente seu serviço de streaming globalmente. Agora o serviço está disponível em mais de 190 regiões em todo o mundo.
Este sucesso tem atraído a atenção de grupos de ataques. Temos observado campanhas de malware e phishing tendo como alvo as informações de usuários Netflix. Os detalhes são, em seguida, disponibilizados em um mercado negro em crescimento, que pretende fornecer acesso mais barato ao serviço.
Malware disfarçado como Netflix
Uma campanha de malware envolve arquivos maliciosos disfarçados de software Netflix nos desktops de computadores comprometidos. Os arquivos são ferramentas de download que, uma vez executados, abrem a página inicial do Netflix como um chamariz e, secretamente, baixam o Infostealer.Banload. O Banload rouba informações bancárias do computador afetado. O Trojan tem sido utilizado principalmente no Brasil.
Os arquivos disfarçados de Netflix não são instalados através de drive-by downloads. Ao invés disso, normalmente os arquivos são baixados por usuários que podem ter sido enganados por propagandas falsas ou ofertas de acesso gratuito ou mais barato ao Netflix.
Ataques de phishing às informações de acesso Netflix
Além da entrega de malware, ataques podem ser direcionados aos usuários Netflix para tentar roubar suas informações de acesso por meio de campanhas de phishing. Assinaturas da Netflix permitem entre um e quatro usuários na mesma conta. Isto significa que um invasor pode usufruir da assinatura de um usuário sem o seu conhecimento.
Nestas campanhas de phishing, os grupos de ataque redirecionam os usuários a um site Netflix falso para induzir os usuários a fornecer suas informações de acesso, informações pessoais e detalhes de cartões de pagamento. Essas táticas não são incomuns; cibercriminosos continuam a usá-las diariamente.
A Symantec observou uma campanha de phishing Netflix em 21 de janeiro, que foi criada especialmente para usuários dinamarqueses. O e-mail de phishing buscava enganar os usuários a acreditar que a sua conta Netflix precisava ser atualizada, pois havia um problema com o seu pagamento mensal. Os e-mails foram enviados de netflix@fakturering.com com o assunto “Opdater Betalingsinformation”. O site do link do e-mail não está mais ativo.
Mercado negro Netflix
Estas campanhas de malware e phishing ajudam os grupos de ataque a reunir as informações necessárias para invadir as contas Netflix das vítimas. Mas estes grupos não mantêm o acesso somente para si. Há um mercado clandestino direcionado a usuários que desejam acessar o Netflix gratuitamente ou com preço reduzido. Os produtos podem até mesmo permitir que os clientes abram sua própria loja ilegal.
As ofertas mais comuns são para contas Netflix existentes. Estas contas fornecem um mês de acesso ou acesso completo ao serviço premium. Na maioria dos anúncios para esses serviços, o vendedor pede que o comprador não altere qualquer informação nas contas, como a senha, pois isso pode fazer com que o acesso fique inutilizável. Isso ocorre porque uma alteração de senha alertaria o usuário que teve sua conta roubada do comprometimento.
Outra oferta inclui geradores de contas Netflix. As contas criadas através destas ferramentas podem ser provenientes de assinaturas Netflix ou informações de cartões de pagamento roubadas. Os desenvolvedores destes geradores atualizam regularmente as suas bases de dados com novas contas e desativam aquelas que não funcionam mais. Os compradores podem usar este software para si ou revender as contas geradas no mercado negro.