Ataques de força bruta para conseguir as credenciais de login de sites de gerenciamento de conteúdo, como blogs, crescem a cada dia. Tais sites são alvos atraentes porque eles tendem a ser menos seguros do que outros ambientes - como os de serviços financeiros - e, uma vez que eles são interativos por natureza, ataques "drive-by" (que implantam malware na página) podem infectar um grande número de usuários rapidamente, disse o vice-presidente de soluções para o setor da 41st Parameter, David Britton.
"Com esses tipos de sites interativos sendo comprometidos, podemos verificar mais evidências do crescimento da tendência de ataques menos voltados ao ganho financeiro direto e bom mais foco em coletar dados pessoais mais detalhados, permitindo que fraudadores construam ataques de engenharia social muito mais complexos que resultam em um eventual maior retorno", disse ele por e-mail.
Mais e mais cibercriminosos estão percebendo que websites construídos em plataformas CMS, como o WordPress, são perfeitos para coleta de senhas. "Isto marca uma mudança radical na forma como crackers atuam, visando o melhor desses sistemas de blogs", disse o analista de pesquisa ad Arbor Networks, Matt Bing, em uma entrevista.
Uma campanha de ataque de força bruta foi identificada na semana passada por Bing. Apelidada de "Fort Disco" pelo pesquisador, a ameaça está usando 25 mil máquinas Windows infectadas para dar suporte a ataques em mais de 6 mil sites hospedados pelo Joomla, WordPress e Datalife Engine.
Senhas fáceis, presas fáceis
O que os atacantes estão descobrindo é que as credenciais de login para muitos sites que executam sistemas CMS populares são fáceis de roubar. "As senhas comuns que foram usadas para comprometer sites com sucesso não tinha nada de sofisticadas", disse Bing. Dos mais de 6 mil sites comprometidos pela campanha, as dez senhas usadas para invadi-los foram: "admin", "123456", "123123", 12345, "{domínio}," pass", "123456789", "1234 150", "abc123" e "123321".
A força bruta pode estar exagerando sobre o que campanhas como a Fort Disco estão fazendo, já que decifrar bilhões de senhas não é o plano principal. Na verdade, crackers podem invadir muitos desses sites rapidamente. "Você pode encontrar arquivos na Internet das 100 mil senhas mais usadas, que podem quebrar mais do que 95% das contas", disse o gerente de produto da Nok Nok Labs, Girish Wadhwani, em uma entrevista.
Uma vez que a Fort Disco compromete um site, ele implanta um software "backdoor" para que seu operador possa fazer o upload e download de arquivos e executar comandos.
Num certo número de casos, o atacante instalou ferramentas que poderiam ser usadas para ativar um kit de exploração "drive-by". No entanto, não foram encontradas provas de que as ferramentas foram utilizadas alguma vez.
Como o atacante está recrutando PCs para um exército botnet ainda é mistério até o momento. "A melhor evidência que temos é que a engenharia social está sendo usada", disse Bing. "Encontramos um executável que tinha o nome de um livro em russo - 'The Big Short: Inside The Doomsday Machine', de Michael Lewis. Então ele pode ter sido usado para tentar enganar os usuários a instalar o malware."
Vulnerabilidades compartilhadas em foco
O uso generalizado de sistemas CMS off-the-shelf tem atraído a atenção de crackers, porque se eles têm posse de alguma vulnerabilidade, ela pode ser usado para comprometer muitos sites.
"Cibercriminosos estão sempre à procura de obter o máximo de lucro com o mínimo de trabalho", disse o estrategista sênior de segurança da Imperva, Barry Shteiman, em uma entrevista. "Com estes sistemas CMS, eles podem fazer o seu trabalho uma vez e, em seguida, hackear muitos e muitos sites."
Muitos dos sistemas CMS, como WordPress, são fáceis de utilizar. Isso é uma coisa boa para os usuários, mas não é tão boa para a segurança do site. "O maior problema com o WordPress é que seus usuários nem sempre são os mais conhecimento técnico", disse o vice-presidente de pesquisa de segurança da Zscaler, Michael Sutton, por e-mail.
"O WordPress é projetado para ser muito fácil e simples de instalar," continuou. "Então a segurança é um complemento para muitos de seus usuários."
Além disso, muitos blogueiros e outros usuários do CMS não estão preocupados com alguém invadir a sua página, porque eles acreditam que não possuem nada que valha a pena roubar. Isso pode até ser verdade, mas não significa que não tenham algo valioso para crackers.
"O que os blogueiros não percebem é que invadir um site se tornou sinônimo de distribuição de malwares", disse o fundador da Incapsula, Marc Gaffan, em uma entrevista. "Se você tem um monte de pessoas acessando o seu site, então ele é um ótimo lugar para infectar visitantes."
Fonte: Mello Jr, John P. . "Blogs e sites de conteúdo entram "na mira" dos hackers - IDG Now!." IDG Now! - Notícias de tecnologia, internet, segurança, mercado, telecom e carreira. http://idgnow.uol.com.br/internet/2013/08/13/blogs-e-sites-de-conteudo-entram-na-mira-dos-hackers/ (accessed August 14, 2013).
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário