Pode-se dizer o que for contra hackers, menos que lhes falta de criatividade. A empresa de segurança ESET revelou nesta semana que um grupo de cibercriminosos está usando uma tática das mais inventivas para espalhar um malware de espionagem.

O grupo, conhecido como Turla, resolveu esconder um endereço malicioso dentro da área de comentários no Instagram da cantora Britney Spears.

O engenhoso esquema foi explicado pelo Ars Technica na última quarta-feira, 7. Os hackers colocaram no ar uma extensão para Firefox que, embora oferecesse recursos de segurança, servia para assumir o controle do computador.

Para se manter no anonimato, um dos truques usados pela extensão consistia em fazer malabarismo para estabelecer comunicação com o servidor para onde as informações roubadas eram enviadas.

É nessa parte que entra Britney Spears. O caminho que levaria à URL do tal servidor não consta em lugar nenhum do código da extensão. Em vez disso, ela busca, dentre os comentários postados nas fotos da cantora, alguma linha de texto capaz de computar um valor específico. Quando encontra o que procurava, a extensão transforma o comentário na URL para o servidor, que ainda fica escondido atrás de um link encurtado pelo bit.ly.

Reprodução

De acordo com a ESET, informações obtidas junto ao bit.ly mostram que o endereço só foi acessado 17 vezes em fevereiro, quando o comentário foi postado. Isso pode significar duas coisas: ou o golpe ainda está em fase de teste, ou ele foi usado para atingir alvos grandes.

A empresa de segurança afirmou que os desenvolvedores da Mozilla estão rearquitetando o Firefox para que a extensão do Turla deixe de funcionar, mas isso não impede os hackers de refazer a ferramenta para que ela volte em outro formato.