2008 Press Releases

A Trend Micro alerta para um novo método de ataque, a falsificação de blogs para instalar código malicioso nos computadores. Em Setembro, o fabricante registou aproximadamente 1.899 blogs alojados num serviço de publicação, que continha iFrame maliciosas que redireccionavam os utilizadores a um site pornográfico.

Quando se clicava num dos vídeos aparecia uma janela que solicitava aos cibernautas o download de um “codec”. Posteriormente, os utilizadores descarregam o “codec”, que é um Browser Helper Object, ou DLL, que tem acesso quase ilimitado ao Browser do utilizador. Os “codec” de vídeo são máscaras para o código malicioso como é o caso das variantes de ZLOB. Neste caso, o arquivo que se descarrega, se instala e se executa é um trojan identificado pela Trend Micro como TROJ_DROPPER.BX, descarregando um DLL malicioso, TROJ_BHO.EZ.

O TROJ_BHO.EZ é instalado como um Browser Helper Object (BHO) que se executa automaticamente em cada início de sessão. Os BHO são módulos DLL que oferecem funcionalidades adicionais ao Internet Explorer. Os BHOs legais podem contribuir para os utilizadores obterem a informação desejada, de forma rápida e no formato que preferirem. Neste e noutros casos ilegais, estes módulos DLL são aproveitados pelos autores de código malicioso. O ataque é tecnicamente simples, já que podem ter acesso e controlar a navegação de páginas abertas usando os passwords dos utilizadores legítimos. Essencialmente tornam-se em plug-ins. Os cibercriminosos podem utilizar BHOs para instalar barras de ferramentas que podem gravar a sequência de teclas. Curiosamente a URL a que dá acesso ao blog está em branco. Os hackers responsáveis por este ataque cometeram um erro de codificação no domínio da atribuição de URL para o download.

Para estar protegido a Trend Micro aconselha o Smart Protection Network que oferece protecção contra métodos convencionais e bloqueia as ameaças mais recentes antes de infectarem o sistema dos utilizadores.

Definição da Ameaça

Actualmente, os leitores consultam blogs para obter informações, que até há puco tempo somente os meios de comunicação tradicionais podiam proporcionar. A proliferação de posts escritos por bloggers contribuíram para esta mudança, sendo que a variedade de conteúdos e de informação significam mais opções para os leitores online.

Os autores de spam, sempre a tentar atingir o maior número de utilizadores, detectaram nos blogs uma vulnerabilidade a explorar. Em 2005, os investigadores utilizaram o termo “splog” ou “blam” para referirem blogs infectados que são desenhados especialmente para alojar spam ou promover páginas de produtos. Normalmente, estes blogs eram constituídos por textos sem sentido a partir de outras fontes online. Os autores de código malicioso criam blogs e publicam posts para direccionar os utilizadores que os visitam, a sites maliciosos que podem deter desde spam a spyware. Os cibercriminosos dependem aparentemente da suposta legitimidade do domínio dos blogs explorados.