Vulnerabilidade, Trojans e Ransomware
Se o kit exploit consegue tirar proveito de uma vulnerabilidade existente no computador das vítimas, haverá um confronto com os trojans Pony Loader e Sirefef além do ransomware Nymaim, que trava o computador da vítima e exige US$ 300 para desbloqueá-lo. De acordo com declarações de Sebastien Duquette, pesquisador de segurança da ESET, esta campanha vem acontecendo há muito tempo. Os dados levantados mostram que o kit exploit Blackhole atua há mais de 2 anos, pelo menos desde fevereiro de 2011.
Problemas com Rastreamento e Comprometimento de Servidores
O problema que os pesquisadores de segurança enfrentam com rastreamento e análise de sites comprometidos nesta campanha, é que nem todos os visitantes acionam o iFrame injection. Em particular, o módulo reconhece endereços IP pertencentes a empresas de segurança e empresas de hospedagem, endereços de tráfego provenientes de consultas específicas, e IPs que foram recentemente atacados e abstém-se de efetuar o processo de injeção.
cPanel e Plesk Comprometidos
De acordo com pesquisadores da ESET, a campanha utiliza servidores cPanel e Plesk comprometidos, e mais de 40 mil domínios e IPs já foram usados em algum momento desse processo - 15 mil dos quais estavam ativos ao mesmo tempo no mês de maio de 2013. Ainda de acordo com uma explicação de Duquette, existe um questionamento: como os cibercriminosos conseguem exercer controle sobre tantos IPs e domínios? Isso ocorre através do comprometimento do cPanel e do Plesk, que são muito utilizados por empresas de web hosting para gerenciar suas redes e, por algumas vezes, controlar centenas ou milhares de sites.
Porém, mais uma vez, os pesquisadores não conseguiram descobrir como o acesso aos servidores é inicialmente obtido. "Pode ser, simplesmente, através de senhas roubadas, devido ao fato do Pony Loader conter o código para roubar credenciais de protocolos como FTP e HTTP", concluiu Sebastian.
Cdorked Atinge Servidores Apache e Lighttpd
É interessante notar que um outro módulo do Apache (Cdorked), que também tem como alvo servidores Apache e Lighttpd e foi detectado em março 2103, também tem intrigado fortemente os pesquisadores da ESET. Segundo os profissionais, na época não foi possível eles saberem, de imediato, como o tal software malicioso foi implantado em servidores Web. "Acreditamos que o vetor de infecção não seja único. Ele não pode ser atribuído apenas a instalações do cPanel, porque apenas uma fração dos servidores infectados estão usando este software de gerenciamento. Uma coisa é clara, este malware não se propaga por si só e não explora uma vulnerabilidade em um software específico". disse Duquette.
Nova Versão do Darkleech
Por fim, os pesquisadores de segurança da Sucuri revelaram um novo módulo Apache malicioso usado em uma campanha similar. "Nós não sabemos se é uma versão nova e melhorada do Darkleech ou uma ferramenta completamente diferente, escrita por um grupo diferente. Nossa equipe ainda está trabalhando para fazer descobertas mais avançadas e tentando entrar no âmbito do grau desta infecção", disseram eles, que continuam em um árduo trabalho de investigação.
Custa Caro Combater Malware?
Além dos passos elementares que consistem em instalar ferramentas de segurança adequadas a cada ambiente – muitas das quais são de código aberto e de excelente qualidade – há muitos documentos públicos que devem ser usados por qualquer empresa como parte de seus processos de negócios, e não de TI ou Segurança da Informação. O Open Web Application Security Project é um excelente começo. São projetos, ferramentas e guias de implementação que estão disponíveis a partir de de um clique de mouse.
Dessa forma, a OWASP Top 10 já mostrou as vulnerabilidades mais comuns em websites, e para cada uma delas, mostrou como o processo de proteção deve ser conduzido. Ferramentas aplicáveis a qualquer ambiente que tenha frameworks baseados em J2EE, .NET, LAMP, Cold Fusion, Struts, Web Services, IIS, WebSphere, WebLogic ou Tomcat têm guias de proteção já publicados, e podem ser usados por pessoas que tenham conhecimento técnico das tecnologias, e não necessariamente de segurança.
Se o problema está no idioma, você deve aprender inglês o mais rapidamente, porque a maioria absoluta dos recursos está concentrada neste idioma. Mas no Brasil temos boas iniciativas também, como mo material publicado pelo CERT.BR? Lá você irá encontrar listas de ferramentas, práticas profissionais e um documento de conscientização excelente, a Cartilha de Segurança para Internet publicada em http://cartilha.cert.br.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2532