Um e-mail fraudulento que começou a circular nesta sexta-feira (05/10) tenta explorar uma brecha no site de compartilhamento de vídeos YouTube para alterar a página e apresentar ao usuário uma falsa caixa de download pedindo a instalação de um “objeto ActiveX” para visualizar o vídeo. Usuários que fizeram o download do “ActiveX” instalaram na verdade um cavalo de tróia. O link no e-mail vai direto ao site verdadeiro do YouTube, e a falha é usada para modificar o conteúdo da página que o internauta vê. A Linha Defensiva notificou o Google, que é responsável pelo YouTube, e a brecha foi corrigida em apenas 10 horas, inutilizando o ataque.

O segredo do golpe está no link presente na mensagem de e-mail. O e-mail não é muito impressionante: possui “videos@youtube.com” no campo “De” da mensagem e contém vários erros de português, afirmando que o destinatário foi “mensionado [sic] em algum de nossos videos [sic] mais acessado [sic]”. O link, no entanto, possui uma série de códigos que modificam a página do YouTube para (somente) aqueles que clicarem nele.

XSS No YouTube

A captura de tela mostra o site do YouTube modificado com uma falsa janela de vídeo. É possível perceber, observando-se o fundo, que a página que está sendo acessada não é realmente uma página de vídeo, mas a página de recuperação de nome de usuário. A janela de download apresentada foi criada com imagens e não é uma janela real do Windows.

Este tipo de vulnerabilidade é chamada de XSS, ou Cross Site Scripting. Elas permitem que código seja inserido em um website para aqueles que clicarem em um determinado link. Usando este tipo de falha, criminosos podem modificar uma página para aqueles que clicarem em um link, enganando o internauta e fazendo-o pensar que as informações ou downloads oferecidos pela página pertencem ao site.

Outro uso comum de brechas XSS é o roubo de cookies. Cookies são arquivos armazenados pelo navegador e contém informações como o seu login e seu endereço de e-mail (se você inseriu um comentário em algum site que solicitava seu e-mail e marcou alguma caixa para que o site pudesse “lembrar” de você, por exemplo).

Um cookie só podem ser lido pelo site que o gravou, de modo que as informações estejam acessíveis para outras páginas da web. Em um site que possui uma brecha XSS, um criminoso pode enviar um link a uma vítima e, quando este for clicado, um código será inserido no site visitado para ler o cookie e enviá-lo ao criminoso.

Este tipo de falha foi usada no Orkut mais de uma vez, mas nunca para alterar o conteúdo da página de uma forma tão agressiva como neste caso do YouTube.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

1 comentário

  1. Qual o nome desse trojan ???
    Acho que estou com uma das maquinas infectada hehe…
    Qual a possibilidade de infecta a outra maquina da rede ?

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s