Adobe Flash Player Plugin

Quem estava com o Flash Player desatualizado poderia ser infectado sem aceitar nenhum download. (Foto: Divulgação/Adobe)

A empresa de segurança Trustwave alertou para um ataque de malvertising — publicidade maliciosa — veiculado no site brasileiro Lancenet nos dias 14 e 22 de maio. O anúncio, de acordo com uma investigação dos operadores do site, foi veiculado apenas para internautas de fora do Brasil.

Não há informação sobre as ações do código malicioso que infectou os internautas. Sabe-se, no entanto, que o anúncio tentava explorar uma falha já conhecida no Adobe Flash Player. Quem estava com o software atualizado não ficou exposto ao ataque.

Embora a publicidade tenha sido veiculada pelo Lancenet, a peça publicitária chegou ao site por meio da Realmedia, uma rede de anúncios terceirizada. Em comunicado, a Realmedia informou que o anúncio foi introduzido por um parceiro da rede. “Contatamos nossos parceiros, responsáveis pelas campanhas em questão, e estes imediatamente tomaram providências,  garantindo que estão reforçando as medidas de segurança quando sobem campanhas”, diz o comunicado. (O texto está disponível na íntegra, abaixo).

A Realmedia possui como clientes os principais portais brasileiros, incluindo Globo, Abril, IG e Estadão. Não há informação sobre a presença do anúncio malicioso em outros portais. (Veja lista de clientes da Realmedia na América Latina.)

De acordo com Thiago Musa, Managing Consultant da Trustwave, esses ataques não se caracterizam como uma invasão ao site. “Esse tipo de ataque abusa da infraestrutura complexa de anúncios on-line. Então muitas vezes o site tem contrato com uma empresa que vai publicar esses anúncios e essa empresa tem contrato com N outras empresas que vão se desdobrando e em algum ponto dessa camada um anúncio é aceito”, explicou ele.

Enteda o malvertising
No malvertising, o código malicioso está em uma peça publicitária que normalmente entra no sistema por meios legítimos, e não por uma invasão. Assim, o criminoso não chega a ter acesso a nenhum dado do site.
O anúncio também só foi veiculado para usuários de fora do Brasil por fazer parte do acervo internacional da rede de anúncios, ou seja, a peça não foi aprovada para ser veiculada no Brasil. Para os operadores do site, é bastante difícil detectar esse tipo de ataque.

A Trustwave ficou sabendo do ataque depois que um software da companhia identificou a presença de um código que tentava explorar uma falha já conhecida no Flash que surgiu em abril. O software Secure Web Gateway, que monitora o tráfego web de clientes da Trustwave, “percebeu” essa semelhança e avisou os especialistas da empresa, que prosseguiram com a análise do ataque. A empresa já publicou uma breve análise do ataque.

Segundo Musa, a melhor defesa para esse ataque está no lado de quem acessa ou site, ou seja, no computador do usuário ou na rede da empresa. Para isso, o ideal é um software capaz de analisar o tráfego de web — e essa função pode, ou não, fazer parte do antivírus. Outra medida ainda mais importante é a atualização dos softwares. “Quem estiver com o Flash atualizado não estaria exposto a esse problema. É sem sombra de dúvida uma ação que qualquer um pode tomar e é muito relevante para minimizar esse tipo de exposição e diversas outras”, afirmou.

Dados da ONG norte-americana Online Trust Alliance apontam que o número de anúncios infectados cresceu 225% em 2013. O malvertising é notório por vitimar sites populares, como Gawker e New York Times. Anúncios maliciosos brasileiros já foram veiculados no Facebook.


Comunicado Realmedia

Recebemos a informação de que foram identificados incidentes de detecção de malware no inventário internacional do Lancenet.

Somos os primeiros a reconhecer a gravidade de um incidente como esse. Buscamos minimizar quando não, eliminar a possibilidade de ocorrências como as relatadas. Um dos pontos fortes da Internet, a característica de ser aberta, dificulta essa tarefa e nos impõe procedimentos para evitar a entrada de códigos maliciosos nas campanhas que entregamos. No entanto, ocorrem brechas.

Nós trabalhamos com centenas de sites em todas as partes do mundo. Somos uma rede séria, rodamos campanhas de qualidade, trabalhamos com os parceiros corretos, todos possuem sistemas de antivírus e de checagens avançadas de segurança. Os sistemas são hoje interligados, conectados com sistemas de RTB (real time bidding), Exchange e outros sistemas e redes.

Contatamos nossos parceiros, responsáveis pelas campanhas em questão, e estes imediatamente tomaram providências,  garantindo que estão reforçando as medidas de segurança quando sobem campanhas.

Este fato foi um caso isolado, de um novo tipo de malware  que passou por algum dos sistemas de checagem de criativos, e seguramente foi prontamente resolvido / identificado e devidamente bloqueado.

Qualquer dúvida adicional, estamos à disposição.

Peter Gervai
Realmedia Latin America

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

5 comentários

  1. Francisco Gonçalves 14/08/2014 às 13:12

    voltou novamente a aparecer no site do Lancenet. dia 14 08.

    Curtir

    Responder

    1. Somente endereços estrangeiros ou você viu o ataque estando no Brasil?

      Curtir

      Responder

      1. Francisco Gonçalves 14/08/2014 às 14:43

        Apareceu a mensagem para instalar estando no Brasil, mas não faço mais atualizações de sites, somente quando adobe pede mesmo para atualizar. Já aconteceu, isso no blog do Alberto Goldman, e instalou um trojan, que afetou o site do Banco do Brasil, e precisei trocar as senhas do banco, porque invadiram a minha conta.

        Curtir

  2. Vander Costa 10/10/2014 às 23:49

    olá, aqui comigo aparece direto esse falso instalador do adobe no site lancenet no brasil mesmo, ja mandei e-mail para o site do lance mas continua acontecendo as tentativas de ataques,como eu sempre atualizo direto pelo site da adobe assim que sai uma nova versão eu sei que é um malware.

    Curtir

    Responder

  3. Felipe Albuquerque 10/03/2015 às 14:34

    Voltou a acontecer 10/03/15

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s