Windows Movie Maker falso se aproveita do posicionamento no Google

Windows Movie Maker falso se aproveita do posicionamento no Google

A ESET detectou uma versão modificada do programa que coleta dinheiro de usuários desprevenidos e se propaga devido ao excelente posicionamento no Google.

A ESET detectou uma versão modificada do programa que coleta dinheiro de usuários desprevenidos e se propaga devido ao excelente posicionamento no Google.

Um grupo de cibercriminosos tem obtido um surpreendente sucesso na propagação de um Windows Movie Maker falso, que tenta coletar dinheiro de usuários desprevenidos.

A propagação do golpe (que não é novidade) tem sido impulsionada pelo excelente posicionamento do site dos cibercriminosos, assim como pela continua demanda do Windows Movie Maker, o software de edição de vídeo gratuito da Microsoft, descontinuado desde 2017.

Na hora de escrever este post, a página que distribui o software modificado, windows-movie-maker.org, aparece como um dos melhores resultados ao buscar por “Movie Maker” ou “Windows Maker” no Google (usando este navegador, se classifica como o primeiro na maioria dos países com o maior número de usuários da Internet). No Bing, o buscador com a segunda maior cota do mercado global, o site também se encontra na primeira página de resultados.

As soluções de segurança da ESET detectam o golpe como Win32/Hoax.MovieMaker e bloqueiam o site que realiza a propagação. Notificamos o Google assim como a Microsoft sobre a natureza fraudulenta do site, que foi registrado em 2010.

Figura 1: Posicionamento do site do golpe no Google.

Figura 2 – O site da fraude.

Como consequência do alto posicionamento do site no buscador, os golpistas conseguiram chegar a uma “audiência” global, já que este Windows Movie Maker modificado aparece entre as ameaças mais detectadas pela telemetria da ESET nos últimos dias.

Em 05 de novembro de 2017, o Win32/Hoax.MovieMaker foi a terceira ameaça mais detectada em todo o mundo, com primeiro lugar em Israel. A partir de 06 de novembro, nossa telemetria registrou muitas detecções em Filipinas, Israel, Finlândia e Dinamarca.

Figura 3: Win32/Hoax.MovieMaker como terceira ameaça mais prevalente no mundo.

Como o golpe funciona?

Quando os usuários instalam o software oferecido no site mencionado, obtém um Windows Movie Maker que funciona. No entanto, ao contrário da versão oficial e gratuita da Microsoft, esta tenta se passar por uma versão teste que deve ser atualizado para uma mais completa, que oferece todo os recursos.

Neste momento, o usuário é instigado a comprar a versão completa, primeiro quando o software é inicializado e, depois, quando tenta guardar um novo documento. Neste último caso, um aviso impede o usuário de continuar, o que faz com que o recurso “salvar um documento” pareça uma opção paga.

Figura 4: Indicador de pagamento apresentado pelo Movie Maker modificado ao guardar um documento.

O preço requerido pela falsa melhoria do programa é de $ 29.95, apresentado com um desconto de 25% no site de pagamento usado pelos criminosos.

Figura 5: Site de pagamento usado pelos criminosos.

Como se proteger deste golpe?

Se você instalou o Movie Maker falso, oferecido na página windows-movie-maker.org, desinstale o programa e faça um rastreamento do seu equipamento com uma solução antimalware de confiança.

Para evitar ser vítima de golpes como este, sempre respeite as fontes oficiais para realizar o download de um software. Caso realmente precise utilizar um software que já não é distribuído pelo desenvolvedor original:

  • Use uma solução de segurança confiável para detectar e bloquear conteúdo malicioso.
  • Use o substituto oficial para o software descontinuado, neste caso, o Windows Story Remix.
  • Não pague por um software que é o oferecido gratuitamente. A informação sobre os preços do software deve estar disponível na Internet.

Indicadores de compromisso

  • Instaladores/droppers:

1060D7935EADB8AAD06EDD1BEBFBF0FD3F7356D8
4F91C0F1AF523B914BA319A7CA02FF79CD02ED6F
6E57AC0812DE0D473DE669CBBAAEF1903995E59F

  • Variantes do aplicativo falso:

3886F28150EC74CC61B7A736147B6307A266B0B3
3F0D346FF54A62C2F6E4F7B348D68D0D6E27B981
529017D113BDCECAF1B1FC4DF9555518251A8C7A

Leia também: Guia para identificar e estar protegido contra golpes na internet.

 

Discussão