Esse vídeo fiz a partir de um e-mail que o leitor Luiz Carlos me encaminhou para análise. Tratava-se de um phishing scam tentando se passar pelo banco Itaú.
Ao clicar no link do e-mail fui direcionado para um site da Finlândia (www.nettiartteli.fi) para baixar um malware banker chamado ItauBankline.exe.
Dessa vez ao invés de fazer a engenharia reversa do executável fiz uma análise do site utilizado para hospedar o malware.
Qual vulnerabilidade o fraudador explorou para invadir o site? Quais os arquivos ele copiou? O site era utilizado só para aplicar esse golpe? Qual o impacto que essa invasão pode causar no servidor do site?
O vídeo responde todas essas perguntas. Para melhor entendimento, listo abaixo alguns pontos interessantes que surgem durante o vídeo:
- O site foi feito com o gerenciador de conteúdo Joomla!, com muita frequência esses sites são invadidos, principalmente pelo pouco cuidado dos administradores com a senha do admin. O acesso do admin no Joomla! por padrão é feito em: www.site.com/administrator/.
- Após conseguir invadir o site, os fraudadores fazem upload de uma shell geralmente em PHP para manipular os arquivos do mesmo. Nesse caso utilizaram a shell “N3tShell v. Emp3ror Undetectable #18”. Através dela é possível criar, editar, apagar, visualizar, fazer download, upload, etc.
- O site era (ou ainda é) utilizado para aplicar golpes utilizando o nome do Adobe Flash Player, do Banco Itaú, enviar SPAM e ainda possuía scripts para tentar descobrir por força bruta usuários e senhas de e-mails.
- Por fim, ao verificar até onde possuia permissão para navegar nas pastas do servidor invadido, foi possível constatar que havia vários outros domínios hospedados no mesmo servidor, ou seja, o invasor poderia alterar também qualquer um daqueles domínios. Isso mostra que a vulnerabilidade de um site comprometeu a segurança de dezenas de outros hospedados no mesmo local.
Assista abaixo ou para melhor visualização faça download clicando aqui (20,5 MB).
Dúvidas? Comentários? Deixe seu recado.
Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet
Estou baixando o vídeo, de já parabéns pelo excelente contéudo do site, quaisquer dúvidas postarei!!
ResponderExcluirAbs
Nossa, muito bom o post e o blog também. Vou começar a fazer segurança da informação no IESB em Brasília que é uma ótima faculdade, por isso visito lugares como esse na web para ir me familiarizando mais com esse segmento tão importante dentro de uma das revoluções do planeta, que são os computadores e a internet. Parabéns por isso, bom mesmo.
ResponderExcluirMuito bom seu blog, estou começando na computação forense. Parabéns muita informação util.
ResponderExcluirObrigado pessoal.
ResponderExcluirAbracos!
muito legal parabéns pelo video
ResponderExcluiroi olha isso o site da assembleia legislativa :
ResponderExcluirhttp://www.alerj.rj.gov.br/municipal.asp?M=0&url=http%3A%2F%2Fimg247.imageshack.us%2Fimg247%2F9971%2Fyouareapirate5xb.swf
o site foi invadido?