Website do Ministério do Trabalho invadido e usado para divulgar malware

Por: em 20/06/09 na(s) categoria(s): Segurança

comentários 35

Quando recebo esse tipo de e-mail, normalmente verifico os links para avisar os administradores dos websites. Para minha surpresa, o primeiro link vai direto para um website da editora McGraw-Hill. Um script de redirecionamento escrito em PHP redireciona para um website do Ministério do Trabalho. Lá está hospedado o arquivo malicioso.

Aguardei a remoção do arquivo e durante a escrita desse post, eles finalmente retiraram o maldito do ar.

O e-mail foi esse abaixo. Simples e direto, como toda engenharia social. Repare que o remetente é um nome comum com dois nomes conhecidíssimos do público: Windows + Live.

19-06-2009 01-11-01

Os links apontam todos para o endereço www.glencoe.com/ebooks/literature/9780078793028/[editado].php?html=Fotos2009. Olhe de quem é o domínio:

20-06-2009 00-41-52

O arquivo malicioso está hospedado num website do Ministério do Trabalho, subdomínio de Santa Catarina, o FundaCentro (Fundação Jorge Duprat Figueiredo de Segurança e Medicina do Trabalho). Olhando a url, resolvi fazer a coisa mais imbecil do mundo: remover uma a uma para enxergar a permissão de pastas. E elas estão abertas como a Jesse Jane:

19-06-2009 00-48-44

19-06-2009 00-45-42

Eu avisei os responsáveis e o pessoal do Ministério foi mais ágil que os americanos e o endereço http://fundacentro.sc.gov.br/ojs/public/site/Foto2009.exe já não oferece mais perigo. O script no website da McGraw-Hill continua “vivo” e portando, não está divulgada o nome da página que pode ser redirecionada para outro endereço de download do malware.

Moral da história: o elo fraco da segurança ainda são os humanos. Não adianta ter o cofre mais seguro do mundo se você ensina todo mundo a deixar ele aberto.

Mais textos de | Site | Twitter

  • Bullet

    Vai que era as fotos daquela festa mesmo }:)

  • http://twitter.com/andreluis andreluis

    o pior é qdo sua mulher vê o seu email, e vc tem que clicar no link pra provar que não são fotos, é um spam/virus…

    • bRox

      auhauhauah essa é boa!
      “executa isso ou termino com vc, safado” :P

      • http://mafiaairforce.myminicity.com andre_mendesc

        Repensa a vida e troca de mulher! }:)
        _______
        AYBABTU

        • bond

          Uhuahuauhaa…

    • http://melinka.net Rocky

      Já tive que fazer isso. E o Kaspersky quase teve um infarte na hora que executei o arquivo.

      E visite meu blog.
      _____________________
      About MeMuita Pimenta para sua vida.
      01010010 01101111 01100011 01101011 01

      • http://amirton.wordpress.com amirton

        Mais uma vantagem de ter namorada nerd

        http://amirton.wordpress.com – Tecnologia e outras formas de diversão

        • http://mafiaairforce.myminicity.com andre_mendesc

          Mais uma vantagem de ter namorada nerd [2]
          _______
          AYBABTU

          • Biscouto

            Que inveja ;)

            “Quando se tem muito tempo para começar um trabalho, o primeiro esforço é mínimo. Quando o tempo se reduz a zero, o esforço beira as raias do infinito. Se não existissem os últimos minutos, nada nesse mundo seria realizado”
            MURPHY

    • http://oonisciencia.blogspot.com O.Onisciente

      Sinuca de bico isso aí!
      Nessa hora eu fingia um ataque do coração. hauhhauhuahuhauhah

      http://principal.oonisciente.operaunite.com

    • http://pietra@hotmail.com Anônimo

      AHuHAuaaH essa foi fogo
      __________________________________________________________

      “Somente a Beira do Abismo que nos vemos Obrigados a Evoluir”

  • http://mafiaairforce.myminicity.com andre_mendesc

    [quote]Olhando a url, resolvi fazer a coisa mais imbecil do mundo: remover uma a uma para enxergar a permissão de pastas.[/quote]
    Eu faço muito isso.
    É como se eu não acreditasse em 404, apenas errei a pasta, aí eu vou voltando pra ver se acho outra página com links corretos ou a home do site. :P
    Tudo bem que não é muito seguro fazer isso onde se hospeda um vírus…
    _______
    AYBABTU

    • Atípico

      [quote=andre_mendesc]É como se eu não acreditasse em 404, apenas errei a pasta, aí eu vou voltando pra ver se acho outra página com links corretos ou a home do site. :P [/quote]

      Curiosidade é fogo viu! Eu faço isso MUITO…
      Principalmente em pastas do tipo site.com/folder/pasta1/arquivo2.mp3
      Já descobri coisas bem interessantes assim.
      Principalmente na época em que não era padrão editar permissão de pastas! ;)
      ___________
      [Esta é uma assinatura subliminar. Você não está vendo nada aqui.]

  • bond

    Ha um tempo atras minha mulher tambem fazia eu abri os links, e olha que eu custei a convence-la de que eram virus… Porém eu ja recebi engenharias sociais mais bem boladas do que essas do tipo “Quanto tempo blablabla… lembra dessa foto??”

    Já trabalhei em uma empresa de telecomunicações de medio porte, e teve uma vez que um cara ligo pra area de T.I. e fingiu ser o diretor da empresa alegando que havia perdido a senha e blablabla, e o inocente quer dizer burro do estagiario deu a senha pro mardito, a engenharia social foi muito bem feita pelo bandido, mais por sorte não deu em nada.

    Dai sempre que contratavam um cara para trabalhar na area de T.I. tinha que contar toda a historinha dinovo e tals, acreditem a historia foi convincente (na época claro). Mas só um cara muito inesperiente caíria.

    • http://oonisciencia.blogspot.com O.Onisciente

      Engenharia social é um negócio interessante. Quando bem feita, você realmente pode burlar o sistema facilmente e fazer coisas “muito legais”, hehehe. Mas toda engenharia social não é suficiente contra um funcionário bem treinado.

      http://principal.oonisciente.operaunite.com

  • Diavolul

    eihaeihaiheaihiahiei, eu também recebi esse email….
    Ainda to na dúvida, clico ou não clico nas fotos? }:)
    abcs

    ____________________________________________________________________

    pessoas normais torcem por times de futebol; geeks torcem por sistemas operacionais.

    • Bullet

      Quem não deve não teme safadjinho aeuhuaeuhaidhauiehiuahsdaheud }:) :P :D

  • Rodrigo8

    ainda existe gente q clica em arquivos .exe ? nem o meu avo de 90 anos faz isso
    no mínimo esse “hacker” nao passa de mais um scriptkid brincando nos servidores mal configurados com suas senhas default

    experimentem estes links via ftp é mais interessante

    • Bullet

      Acho que foi só pra dizer :
      “-Sim eu posso.”

    • http://bsrsoft.com.br andre_pereira

      [quote=Rodrigo8]ainda existe gente q clica em arquivos .exe ? nem o meu avo de 90 anos faz isso
      no mínimo esse “hacker” nao passa de mais um scriptkid brincando nos servidores mal configurados com suas senhas default

      experimentem estes links via ftp é mais interessante[/quote]

      Sim. Existe muita gente que clica em .exe .com .src etc.

      Por isso que os jornais todo dia têem uma notícia sobre roubo/desvio de dinheiro pela internet.

      Sem completos idiotas ou analfabetos funcionais digitais, esse tipo de crime já não existiria mais.

      ————————————————-
      André Luis Pereira
      BSRSoft IDC
      http://www.bsrsoft.com.br

  • carituS

    [quote=Ricardo Bicalho]
    Quando recebo esse tipo de e-mail, normalmente verifico os links para avisar os administradores dos websites.
    [/quote]

    2. Só não faço nada quando o domínio é alguma coisa .ru ou .cn. }:)

  • http://epicfailureblog.wordpress.com/ kbloSnack

    Por isso que adoro o vista…um .jpg.exe aparece com o ícone de .exe :D

    Animes, mangás e games: http://epicfailureblog.wordpress.com/

    • http://mafiaairforce.myminicity.com andre_mendesc

      Coisa básica.
      Acho que até no Windows ME é assim… :P
      _______
      AYBABTU

      • http://flavors.me/naio21 OMGWTFBBQ

        A MS devia deixar desabilitada aquela opção de “Ocultar extensões de arquivos conhecidos” POR DEFAULT. Isso confunde os n00bs bragarai e faz a alegria dos “engenheiros sociais”.

        O pior é que eles não se ligaram nisso até hoje, tanto que até no W7 as extensões vêm ocultas de fábrica… :-\
        ______________
        Nóis tuíta mais num bloga

        • http://bsrsoft.com.br andre_pereira

          [quote=OMGWTFBBQ]A MS devia deixar desabilitada aquela opção de “Ocultar extensões de arquivos conhecidos” POR DEFAULT. Isso confunde os n00bs bragarai e faz a alegria dos “engenheiros sociais”.

          O pior é que eles não se ligaram nisso até hoje, tanto que até no W7 as extensões vêm ocultas de fábrica… :-\
          ______________
          Nóis tuíta mais num bloga[/quote]

          É MS facilitando a vida dos micreiros da borboleta. Se colocar extensão vai complicar pra eles. Imagine o telefonema pro filho do vizinho: “Oi Zé. Oque aquele arquivo com .com no final faz? Ele adiciona quantos emoticons ao meu MSN?”
          ————————————————-
          André Luis Pereira
          BSRSoft IDC
          http://www.bsrsoft.com.br

        • http://mafiaairforce.myminicity.com andre_mendesc

          Verdade, é eu acho que a intenção da M$ é facilitar, pra não confundir, como disse o andre_pereira mas acaba facilitando a vida dos “distribuidores de emotions” :p
          _______
          AYBABTU

  • http://ferrari.eti.br SkyBR

    Eu sempre clico em tudo, baixo e dou uma olhada..

    Linux FTW nesse aspecto, 100% imune.

    []‘s

  • http://pietra@hotmail.com Anônimo

    Ando recebendo boladas milhonárias do outro lado do globo, gentis pessoas que me avisam que ganhei na loteria da Zambia, não.
    __________________________________________________________

    “Somente a Beira do Abismo que nos vemos Obrigados a Evoluir”

  • Danskk

    Ainda bem que minha companheira não sofre de Síndrome da Imunociumeira Adquirida e tem discernimento e conhecimento suficiente nesta área para entender bem esses problemas com malwares. :)

    • Atípico

      Ainda bem que a minha namorada _não sabe a senha do meu email_. Nem ela nem ninguém.
      ___________
      [Esta é uma assinatura subliminar. Você não está vendo nada aqui.]

    • caiado

      A mesma coisa comigo, não preciso nem me preocupar até porque em casa, meu email fica aberto direto e ela já conhece esses emails já manjados.

      Quando ela recebe no email dela também, ela já exclui direto, nem me pergunta mais. Já identifica quando recebe um arquivo malicioso.

      Mesmo com toda a informação, todo trabalho que é feito por aí, sempre tem gente que cai nesses emails. As pessoas só querem saber de orkut e msn…

      Tenho visto a galera do orkut descobrindo outros serviços agora…tenho recebido seguidores no twitter e no facebook, daqui a pouco vira um porcaria igual ficou o orkut.

      []s

  • http://cognostech.posterous.com/ Ramon E. Ritter

    Depois que instalei o Kaspersky, não fico mais preocupado com isso…

  • http://pietra@hotmail.com Anônimo

    Parece que o fundacentro usa Apache rodando em cima de Linux. Tenho muita curiosidade de saber como colocaram esse arquivo lá. Será que ele também utilizam um zabbix que não foi atualizado?

    http://br-linux.org/2009/analise-de-servidor-comprometido-por-rootkit/

  • RodrigoCantarino

    [quote=Ricardo Bicalho]Moral da história: o elo fraco da segurança ainda são os humanos. Não adianta ter o cofre mais seguro do mundo se você ensina todo mundo a deixar ele aberto.[/quote]
    O elo fraco de tudo sempre foi o ser humano.

  • Sátiro

    PQP… se minha namorada entra numa paranóia dessas, vira séria candidata a ex.