Um grupo de cibercriminosos tem obtido um surpreendente sucesso na propagação de um Windows Movie Maker falso, que tenta coletar dinheiro de usuários desprevenidos.

A propagação do golpe (que não é novidade) tem sido impulsionada pelo excelente posicionamento do site dos cibercriminosos, assim como pela continua demanda do Windows Movie Maker, o software de edição de vídeo gratuito da Microsoft, descontinuado desde 2017.

Na hora de escrever este post, a página que distribui o software modificado, windows-movie-maker.org, aparece como um dos melhores resultados ao buscar por “Movie Maker” ou “Windows Maker” no Google (usando este navegador, se classifica como o primeiro na maioria dos países com o maior número de usuários da Internet). No Bing, o buscador com a segunda maior cota do mercado global, o site também se encontra na primeira página de resultados.

As soluções de segurança da ESET detectam o golpe como Win32/Hoax.MovieMaker e bloqueiam o site que realiza a propagação. Notificamos o Google assim como a Microsoft sobre a natureza fraudulenta do site, que foi registrado em 2010.

Figura 1: Posicionamento do site do golpe no Google.

Figura 2 – O site da fraude.

Como consequência do alto posicionamento do site no buscador, os golpistas conseguiram chegar a uma “audiência” global, já que este Windows Movie Maker modificado aparece entre as ameaças mais detectadas pela telemetria da ESET nos últimos dias.

Em 05 de novembro de 2017, o Win32/Hoax.MovieMaker foi a terceira ameaça mais detectada em todo o mundo, com primeiro lugar em Israel. A partir de 06 de novembro, nossa telemetria registrou muitas detecções em Filipinas, Israel, Finlândia e Dinamarca.

Figura 3: Win32/Hoax.MovieMaker como terceira ameaça mais prevalente no mundo.

Como o golpe funciona?

Quando os usuários instalam o software oferecido no site mencionado, obtém um Windows Movie Maker que funciona. No entanto, ao contrário da versão oficial e gratuita da Microsoft, esta tenta se passar por uma versão teste que deve ser atualizado para uma mais completa, que oferece todo os recursos.

Neste momento, o usuário é instigado a comprar a versão completa, primeiro quando o software é inicializado e, depois, quando tenta guardar um novo documento. Neste último caso, um aviso impede o usuário de continuar, o que faz com que o recurso “salvar um documento” pareça uma opção paga.

Figura 4: Indicador de pagamento apresentado pelo Movie Maker modificado ao guardar um documento.

O preço requerido pela falsa melhoria do programa é de $ 29.95, apresentado com um desconto de 25% no site de pagamento usado pelos criminosos.

Figura 5: Site de pagamento usado pelos criminosos.

Como se proteger deste golpe?

Se você instalou o Movie Maker falso, oferecido na página windows-movie-maker.org, desinstale o programa e faça um rastreamento do seu equipamento com uma solução antimalware de confiança.

Para evitar ser vítima de golpes como este, sempre respeite as fontes oficiais para realizar o download de um software. Caso realmente precise utilizar um software que já não é distribuído pelo desenvolvedor original:

  • Use uma solução de segurança confiável para detectar e bloquear conteúdo malicioso.
  • Use o substituto oficial para o software descontinuado, neste caso, o Windows Story Remix.
  • Não pague por um software que é o oferecido gratuitamente. A informação sobre os preços do software deve estar disponível na Internet.

Indicadores de compromisso

  • Instaladores/droppers:

1060D7935EADB8AAD06EDD1BEBFBF0FD3F7356D8
4F91C0F1AF523B914BA319A7CA02FF79CD02ED6F
6E57AC0812DE0D473DE669CBBAAEF1903995E59F

  • Variantes do aplicativo falso:

3886F28150EC74CC61B7A736147B6307A266B0B3
3F0D346FF54A62C2F6E4F7B348D68D0D6E27B981
529017D113BDCECAF1B1FC4DF9555518251A8C7A

Leia também: Guia para identificar e estar protegido contra golpes na internet.