Este artigo foi desenvolvido pela equipe da Bitdefender Antivírus para o webdig blog, e foi baseado em informações técnicas fornecidas como cortesia de Cristina Vatamanu e Razvan Benchea, Analistas de Vírus da Bitdefender.
Acompanhe as informações em mais um post convidado em nosso blog
Ataque e tentativas de fraudes virtuais são cada vez mais frequentes. E os principais alvos são páginas em que há um grande volume de transferência de dados e acesso.
Imagem: Free Digital Photos
Embora alguns sites sejam hackeados por questões ideológicas, o objetivo dessas fraudes, em geral, tem objetivos financeiros.
Recentemente, no dia 14 de Novembro de 2012, por “algumas horas”, os usuários do Portal Opera ficaram vulneráveis a uma investida de malware, fraudes virtuais vindas do notório exploit BlackHole, de acordo com um relatório da especialista em antivírus, a Bitdefender.
Nas versões recentes do navegador, a página do portal está acessível a partir do menu de entrada, já para as versões mais antigas, ela é configurada como página inicial.
E foi nesta página que o código exploit foi injetado.
Como aconteceu
Os sistemas automáticos de verificação alertaram para o fato de que um script malicioso ofuscado, carregado pelo endereço - hxxp://portal.opera.com - redirecionava os usuários para uma página maliciosa, onde estava hospedado o notório exploit BlackHole.
Provavelmente, o script foi carregado através de um anúncio de terceiros, uma prática conhecida como Malvertising.
O código escondido na página inicial do Portal criou um iframe, onde os criminosos incorporaram uma página de ataque. A página falsa tentou usar um arquivo em PDF criando anteriormente para explorar falhas antigas no Adobe Reader.
O exploit BlackHole
O objetivo era infectar o sistema com um trojan bancário nomeado Zeus.
Em outras palavras, esta página maliciosa abriga o kit do exploit BlackHole – exploit CVE-2010-0188 -, que irá infectar o usuário desavisado com uma variante recém-compilada do ZBot, detectado pelo como Trojan.Zbot.HXT.
Imagem: Free Digital Photos
O malware ZBot está em um servidor na Rússia, que é, provavelmente, outra provável vítima de hackers, permitindo acesso não autorizado via FTP.
Caso o usuário do Opera não tenha mudado sua página inicial padrão, um conteúdo malicioso ativo é carregado a partir de um site de terceiros (g[removido]750.com/in.cgi) sempre que o navegador for aberto.
Para se defender, o usuário deve deixar o antivírus ativo, pois ele detecta o script ofuscado como Trojan.Script.478548. Além disso, a página maliciosa carregada pelo Portal do Opera também foi bloqueada desde o surgimento do ataque, através do bloqueador de URL na nuvem.
Caso tenha alguma dúvida ou tema ter sido vítima desse golpe, faça uma verificação de 60 segundos do QuickScan, disponível no site do Bitdefender QuickScan.
Com informações da Bitdefender
-
35 mil usuários são enganados por página de sorteio no Facebook
-
Apple demonstra HTML5 em nova página
-
Cuidado tem um trojan pra Mac OS X a solta por aí
Receba os posts da webdig por feed ou email
