Pesquisadores do laboratório da FireEye identificaram uma campanha nociva e bem-elaborada que utiliza a aplicação da interface de programação (API, sigla em inglês) de um dos maiores sites de pesquisas do mundo, o chinês Baidu, para redirecionar a uma HTML similar e infectar os dispositivos.
Assim que recebeu a notificação do ciberataque, em meados de outubro de 2015, o Baidu tomou todas as precauções para detê-lo. Entretanto, até fevereiro deste ano havia resquícios ativos. O primeiro passo foi realizado pelos representantes da FireEye que contataram os do site chinês para que fosse feita a divulgação responsável do acontecimento.
A cooperação do Baidu aconteceu em todas as esferas: desde a adoção de medidas imediatas contra o malware para remoção de todo o conteúdo malicioso, até alterações em seus regulamentos da plataforma de anúncios, para evitar que comportamentos dinâmicos, como o carregamento VBScript ou downloads executáveis de domínios suspeitos, não fossem mais permitidos.
Além disso, o Baidu tem realizado buscas minuciosas e operações de limpeza em seus espaços publicitários. A coleta de provas com base na conta atacante foi finalizada e todo conteúdo malicioso, destruído. Até o fim do mês de março, o site passa pelo processo de desligamento do canal de upload de roteiros definidos pelo usuário e de Flash em sua plataforma de anúncios. Isto significa que campanhas de malwares semelhantes já não podem mais hospedar seus conteúdos em espaços de anúncios do Baidu.
Outras medidas adotadas pelo site chinês foram: a obrigatoriedade de que todas as contas existentes ou novas registrem um número de telefone celular e nome de domínio – ambos legais na China – para que haja verificação. Identidades de contas relacionadas a conteúdos maliciosos podem ser fornecidas para as agências de aplicação da lei. O mecanismo de detecção para capturar conteúdo malicioso hospedado na plataforma de anúncios tem sido constantemente melhorado e todo o conteúdo existente e já carregado deverá ser digitalizado.
Desvendando o ataque
O início do ataque se dá pelo acesso a uma página infectada que direciona a uma URL diferente da do site original e cria-se um vínculo nocivo. A partir daí, há duas formas de resposta.
Uma delas se dá quando um código cria um número de cookies de rastreamento usando JavaScript, que mantém o controle do tempo e número de visitas em tempo real. Com isso, listam-se os interesses deste usuário e toda vez que acessa esta página da web, o browser é redirecionado a um conjunto de páginas infectadas do mesmo grupo. No caso Baidu, um ID de anúncio publicitário é mantido até que a norma API seja substituída pelos falsos códigos de acesso.
Já a segunda fase começa quando o anúncio está comprometido e a URL inicia o ataque em busca do script real. Este pedido é feito por meio do servidor de anúncios utilizando o ID comprometido. Nesta etapa, acontecem diversos processos simultaneamente.
O servidor responde ao ataque criptografado, mascarado dentro do corpo a resposta da API. Internamente está escondido um VBScript que é descartado. Mas surge um download que lança outro executável malicioso a partir de um servidor de arquivos, derivados de URLs copiadas. Por ser dinâmico, aparece por diferentes vias de redirecionamento.
Surge um token numérico pseudoaleatório, que é enviado ao ataque de hospedagem com o pedido do logo.bmp. A resposta vem em formato de um download de vírus Trojan executável, que instala diversos programas, incluindo malwares, no PC, que é reconhecido pelos dispositivos da Microsoft.
O ataque continua. Outro pedido de hospedagem para o mesmo servidor logo.bmp é gerado, solicitando um arquivo chamado c.ini. A lista retorna com programas indesejáveis (PUPs, sigla em inglês) e Trojans disponíveis para download direto, além de despejar conteúdos pornográficos na máquina infectada.
Nos sistemas em que o Windows é utilizado, as versões do Internet Explorer (IE) a partir da 11, estão protegidos, uma vez que a Microsoft deixou de autorizar a execução de VBScript para o cliente.