No mundo do cibercrime, a criatividade, a adaptação e especialmente a capacidade de não chamar atenção desnecessariamente são um importante diferencial competitivo.
Todo mundo já sabe que a plataforma WordPress é um poço de vulnerabilidades e que os que ousam a utilizar precisam estar sempre atentos aos novos ataques e obviamente implementar medidas adequadas de hardening da solução.
Além disto, com a facilidade de levantamento de informações que sites como o Shodan proporcionam, estas invasões em massa tendem a ser cada vez mais comuns.
Pois bem - como todo administrador e todo usuário de Internet Exploder sabe - quem não se cuida.. é invadido - inexoravelmente. De uns anos para cá, vemos mais e mais casos de invasão de sites que não são utilizados imediatamente como plataforma de divulgação de "feitos", como defacements claros e escarrados ou a utilização do site invadido para hospedagem de páginas falsas de bancos em ataques de phishing scam.
Voltando ao tema principal do post: uma das atividades mais comuns e lucrativas utilizadas hoje pelo cibercrime é o "BlackHat SEO" - que objetiva o redirecionamento de tráfego de resultados de pesquisas em motores de busca (Google) para sites específicos que compram estes serviços - como no caso em pauta os de venda ilegal de medicamentos Viagra e Cialis.
Um pulo do gato interessante é que os termos relacionados à venda de medicamentos só aparecem caso o software utilizado (user-agent) para acesso à informação for um crawler/agent do Google (GoogleBot) (ex: inclusão no .htaccess: "RewriteCond %{HTTP_REFERER} .*gooo?gle.*"
Isto garante a bom posicionamento dos termos "anunciados" e ao mesmo tempo evita que o ataque seja descoberto facilmente. Além disto, quando os sites são acessados via Google, a página de chamada (referer) é checada e há o redicionamento par ao site do "anunciante".
Isto garante a bom posicionamento dos termos "anunciados" e ao mesmo tempo evita que o ataque seja descoberto facilmente. Além disto, quando os sites são acessados via Google, a página de chamada (referer) é checada e há o redicionamento par ao site do "anunciante".
As vantagens do "anunciante" são que a pontuação de importância do Google (page-rank) do site invadido será aproveitada e usuários normais do site (e administradores web) que estiverem usando navegadores comuns não repararão a alteração feita pelos atacantes "fornecedores" deste serviço.
Como pode ser visto no post da Sucuri - "Understanding and cleaning the pharma hack on Wordpress" - a seguinte pesquisa no Google revela milhares de sites atingidos pelo ataque - a grande maioria dos listados possuem instalações wordpress vulneráveis e ainda não foi corrigida, dada a natureza low-profile da campanha:
- Para verificar se o seu site foi atingigo: inurl:site.com +"cheap viagra" or "cheap cialis"
- Para sites no brasil: inurl:.br +"cheap viagra" or "cheap cialis"
São milhares de sites afetados no Brasil (google cache em 2010/07/13), entre eles:
- Forum do site do GDF: www.distritofederal.df.gov.br - ainda no ar - redirecionando para http://buypillz [dot] com
- Site da Faculdade de Comunicação da UnB - www.fac.unb.br
- Site da Renault - www.renault.com.br
- Revista Você RH - revistavocerh.abril.com.br
- entre milhares de outros..
Segundo a Sucuri, os sites afetados por esta campanha de ataque normalmente tiveram 3 garantias de permanência inseridas pelos atacantes.
1 – Backdoor que permite que os atacantes insira arquivos e modifiquem o banco de dados do worpress;
2 – Backdoor dentro de um ou mais plugins para inserir spam;
3 – Backdoor dentro do banco de dados usado pelos plugins.
O post da Sucuri possui detalhes de como procurar/remover esta variação específica do ataque.
Aos interessados no assunto - recomendo a seuinte fonte de referência sobre atividades de BlackHat SEO e outras atividades do ecosistema de ataques web em geral: o blog do analista de segurança holandês Dancho Danchev.
Caso um site sob sua responsabilidade foi afetado pelo ataque acima ou por outro - além dos links presentes neste post e da remoção dos 3 itens acima, recomendo o documento o APWG (Anti-Phishing Working Group): What to do if your Web site has been Hacked [pdf].
[ 14/07/2010 Update ]
Hoje tomei conhecimento que o próprio site da Sucuri (e também oComputerWorld-UOL) já haviam citado sites brasileiros envolvidos nesta campanha "Pharma".
Wow! Sorte que os sites que eu administro não foram afetados!! =]
ReplyDeletePost muito interessante Suffert! Acredito que muitos tb estejam vulneráveis a XSS que facilita os ScriptKids, utilizarndo frameworks com o BeEF, a fazerem a festa! Abs!
ReplyDeleteCarbone, certamente - versões velhas de aplicações web reconhecidamente vulneráveis + XSS é um prato cheio.. O que mais me impressionou foi a quantidade de sites afetados nesta campanha..
ReplyDeleteAnônimo - fique de olho =)