Vídeo: Site Invadido e Utilizado por Crackers
Esse vídeo fiz a partir de um e-mail que o leitor Luiz Carlos me encaminhou para análise. Tratava-se de um phishing scam tentando se passar pelo banco Itaú.
Ao
clicar no link do e-mail fui direcionado para um site da Finlândia
(www.nettiartteli.fi) para baixar um malware banker chamado ItauBankline.exe.
Dessa vez ao invés de fazer a engenharia reversa do executável fiz uma análise do site utilizado para hospedar o malware.
Qual
vulnerabilidade o fraudador explorou para invadir o site? Quais os
arquivos ele copiou? O site era utilizado só para aplicar esse golpe?
Qual o impacto que essa invasão pode causar no servidor do site?
O
vídeo responde todas essas perguntas. Para melhor entendimento, listo
abaixo alguns pontos interessantes que surgem durante o vídeo:
-
O site foi feito com o gerenciador de conteúdo Joomla!, com muita
frequência esses sites são invadidos, principalmente pelo pouco cuidado dos administradores com a senha do admin. O acesso do admin no Joomla! por padrão é feito em: www.site.com/administrator/.
-
Após conseguir invadir o site, os fraudadores fazem upload de uma shell
geralmente em PHP para manipular os arquivos do mesmo. Nesse caso
utilizaram a shell “N3tShell v. Emp3ror Undetectable #18”. Através dela é
possível criar, editar, apagar, visualizar, fazer download, upload,
etc.
-
O site era (ou ainda é) utilizado para aplicar golpes utilizando o nome
do Adobe Flash Player, do Banco Itaú, enviar SPAM e ainda possuía
scripts para tentar descobrir por força bruta usuários e senhas de
e-mails.
-
Por fim, ao verificar até onde possuia permissão para navegar nas
pastas do servidor invadido, foi possível constatar que havia vários
outros domínios hospedados no mesmo servidor, ou seja, o invasor poderia
alterar também qualquer um daqueles domínios. Isso mostra que a
vulnerabilidade de um site comprometeu a segurança de dezenas de outros
hospedados no mesmo local.
Assista abaixo ou para melhor visualização faça download clicando aqui (20,5 MB).
Dúvidas? Comentários? Deixe seu recado.