Menos de um mês após a invasão ao site do São Paulo FC, criminosos virtuais voltaram a atacar e alterar um site conhecido com o intuito de infectar internautas. Esta semana foi a vez do site da operadora Vivo, onde um código malicioso injetado na página fez com que os usuários fossem convidados a executar um software ladrão de senhas bancárias. Os invasores colocaram também um contador de acessos, que marcava 88 mil vítimas antes de ser retirado do ar, segundo informações de especialistas de segurança consultados pelo G1.
Também nesta semana: Microsoft corrige oito brechas de segurança, mas não conserta problema “dia zero” em servidor web; vulnerabilidade no serviço de compartilhamento de arquivos dos Windows Vista e Server 2008 é exposta na web.
Criminosos injetaram um código malicioso no portal web da operadora de telefonia Vivo para disseminar um vírus. A página ficou pelo menos quatro horas contaminada na terça-feira (8). Os invasores fizeram com que os visitantes recebessem um aviso para executar um suposto plugin. Se a execução do “plugin” fosse confirmada, o computador do internauta era infectado por um cavalo de troia capaz de roubar senhas bancárias.
Em nota, a empresa divulgou: “a Vivo informa que os usuários que clicaram numa falsa janela de ‘warning security’ para execução de arquivo, é que podem ter tido o seu computador infectado. Portanto, a recomendação da Empresa é que usuários que tenham acessado o portal www.vivo.com.br no período de 16h07 de 08.09.2009 até às 00h50 de 09.09.2009, e que tenham executado o falso arquivo, evitem acessar sites de bancos até que façam uma verificação de segurança em seu computador”.
O golpe foi descoberto por um administrador de redes da Unicamp, Miguel Di Ciurcio Filho. Ele visitou o portal da Vivo às 20h da terça e executou o falso plugin – no Linux – e estranhou o comportamento do site. Cerca de 30 minutos depois, notou alterações na pasta de usuário e verificou que a origem foi o portal da operadora. Como o ataque usou o Java, que é multiplataforma, o código tentou criar no Linux os mesmos arquivos do que no Windows, mas falhou.
O código responsável por disseminar a praga digital foi retirado do ar pouco depois da meia-noite, segundo comunicado da operadora. Não é possível saber quando exatamente ele foi colocado na página, mas os criminosos deixaram um contador de vítimas, segundo o qual 88 mil internautas foram expostos ao instalador do cavalo de troia.
Para roubar as senhas, o vírus editava o arquivo HOSTS do Windows para redirecionar endereços de banco a um servidor malicioso que hospeda páginas clonadas.
Após analisar o código malicioso, Ciurcio enviou um e-mail para os contatos de rede da Vivo e para a GTS-L, uma lista de discussão brasileira especializada em incidentes de segurança. Em seguida, publicou a mensagem enviada em seu blog, “O SysAdmin”, juntamente com fotos dos sites falsos para os quais usuários infectados são redirecionados.
O administrador de redes disse ao G1 também ter tentado contato com o atendimento telefônico da operadora para alertar sobre o problema no site, mas não teve sucesso. “Liguei no *8486 da Vivo e a atendente não conseguiu entender o que estava acontecendo. Ela achou que minha máquina estava com vírus e não tinha para quem passar”.
Golpes como esse não são novidade na internet brasileira. Os sites do São Paulo FC e da também operadora de telefonia Oi foram vítimas de ataques idênticos. Os três usaram um recurso chamado Java Web Start para dar apenas uma única chance para o internauta impedir o download do vírus.
Quem foi infectado deve tentar atualizar o antivírus e fazer um exame completo no disco. Verificar manualmente o arquivo HOSTS para zerá-lo (veja aqui como) também é uma alternativa.