A descoberta de um malware que infectou quase 5 milhões de sites foi anunciada pela Armonize, empresa de segurança virtual. Os alvos do malware são sites feitos com o osCommerce, sistema grátis usado mundialmente na criação rápida de lojas virtuais. O exploit usado pelos hackers tira proveito de três vulnerabilidades desse sistema, que já foram anunciadas a três semanas atrás. Muitos sites ainda não têm os correção instaladas, ficando então vulneráveis à contaminação de suas páginas, que irão atacar seus visitantes.
Páginas são alteradas para incluir código que aponta para site capaz de infectar internautas. (Foto: Reprodução)
O exploit injeta um script malicioso que carrega códigos de um site controlado pelos invasores. Atualmente a praga está usando dois domínios, injetando apenas um deles em cada site contaminado. Quando o um internauta acessa a página infectada, ele é automaticamente redirecionado para um dos domínios, que por sua vez, redireciona o usuário para uma série de sites intermediários, que tem por função final, tentar explorar falhas do Windows.
O vírus também pode colocar um ou mais backdoors nos sites atacados. Contas de hospedagem compartilhada são as mais atingidas, pois o backdoor pode dar a oportunidade de acessar várias contas de um mesmo servidor ao mesmo tempo.
A Armonize já está estudando o malware há algum tempo. No dia 24 de julho, primeira vez que a praga foi vista, o Google reportava 91 mil páginas infectadas. Porém, a partir do dia 31 de julho, pode-se notar a grande disseminação do vírus na internet, quando o Google já apontava quase 5 milhões de páginas atingidas.
Os IPs coletados na análise indicam que os criminosos são ucranianos.
Os números deixam clara a importância de manter-se sempre atualizado — sendo administrador de um site ou um usuário. Nesse caso, os principais atingidos são os sites que não contém as correções já divulgadas pela osCommerce, enquanto usuários com navegadores e plugins desatualizados serão os impactados pelos sites atacados.
Linha Defensiva 