As empresas de segurança FaceTime e F-Secure publicaram, na última sexta-feira (1/12), um alerta sobre um worm que se propaga pela rede social MySpace usando de forma maliciosa uma funcionalidade presente em vídeos do QuickTime. Visitar um perfil infectado resulta na adição de uma barra de login falsa no perfil da vítima.

O ataque utiliza uma faixa especial dos filmes QuickTime chamada de “HREF Track” que permite que o filme execute Javacript ou abra páginas no navegador, de acordo com as necessidades do autor do filme. Em agosto, pesquisadores da FaceTime já haviam descoberto alguns arquivos em redes P2P usando a funcionalidade para abrir anúncios durante sua execução, porém só agora é que o recurso foi utilizado de forma diretamente maliciosa.

O “script” carregado pelo filme modifica a página do MySpace do usuário que visitou um perfil infectado, inserindo uma barra de login falsa. Quem utilizar a barra para acessar a página de login será levado para um site falso que rouba os dados digitados nos formulários. O perfil da vítima também é “infectado” com o arquivo MOV, de modo que seus visitantes também sejam infectados.

Basta carregar um perfil infectado com o Internet Explorer em um computador com o plugin do QuickTime e o código malicioso será ativado, repetindo o processo. De acordo com a FaceTime, pode ser necessária a remoção de todos os amigos infectados para que um perfil possa ser desinfectado e a barra falsa retirada definitivamente.

Se o usuário entrar com seus dados de login nas páginas falsas, crackers utilizarão os dados para enviar mensagens de spam para a lista de amigos da vítima. As mensagens de spam incluem uma imagem pornográfica que parece ser de um vídeo do YouTube, porém, quando clicada, ela leva para um site chamado “Vidchicks” que tenta instalar o adware Zango.

O FTC, nos EUA, multou a Zango no início de novembro em 3 milhões de dólares por não policiar sua rede de afiliados e permitir que os mesmos utilizem métodos ilegais, como esse, para instalar o adware da empresa.

A existência da faixa que foi utilizada de forma maliciosa para o ataque não é exatamente um bug (erro) ou uma brecha, mas sim uma funcionalidade do QuickTime. O formato WMV, desenvolvido pela Microsoft e usado no Windows Media Player, teve problemas semelhantes com um recurso que permitia que páginas fossem abertas durante a execução dos filmes.

Atualização — O MySpace agora está sugerindo a instalação de um patch desenvolvido pela Apple que deve limitar ou eliminar a “funcionalidade” do QuickTime responsável pela disseminação do worm.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.