0
0
A startup de segurança cibernética Wiz alerta sobre uma campanha de redirecionamento na qual milhares de sites foram comprometidos usando credenciais legítimas de FTP (File Transfer Protocol), protocolo de rede para a transmissão de arquivos.
Segundo a startup, em muitos casos, os invasores conseguiram obter credenciais de FTP geradas automaticamente altamente seguras e as usaram para sequestrar os sites das vítimas para redirecionar os visitantes para conteúdo adulto.
Provavelmente em andamento desde setembro do ano passado, a campanha resultou no comprometimento de ao menos 10 mil sites, muitos pertencentes a pequenas empresas e alguns operados por grandes corporações. Diferenças em provedores de hospedagem e stacks tecnológicos (pilha de tecnologias) tornam difícil identificar um ponto de entrada comum, segundo a Wiz.
Como parte dos incidentes observados inicialmente, os invasores adicionaram às páginas da web comprometidas “uma única linha de código HTML, na forma de uma tag de script que faz referência a um script JavaScript hospedado remotamente”. As tags injetadas resultam em um script JavaScript sendo baixado e executado nas máquinas dos visitantes do site.
Em alguns casos, o código JavaScript foi injetado diretamente em arquivos existentes no servidor comprometido, provavelmente via acesso FTP, o que exclui a possibilidade de malvertising, diz Wiz.
A startup de segurança cibernética identificou vários servidores associados a esta campanha, que atendem a variações de JavaScript e mostram inúmeras semelhanças, sugerindo que estão intimamente ligados, se não fizerem parte da mesma atividade.
O código de redirecionamento JavaScript verifica condições específicas antes de redirecionar o visitante para o site de destino, incluindo um valor de probabilidade, um cookie definido na máquina da vítima, se o visitante é um rastreador e se está usando Android ou não.
Inicialmente, o código JavaScript também foi observado identificando os navegadores dos usuários e enviando as informações coletadas para a infraestrutura controlada pelo invasor. No entanto, o comportamento não ocorre desde dezembro do ano passado.
O objetivo da campanha, segundo a Wiz, pode ser fraude de anúncios ou manipulação de SEO (Search Engine Optimization, ou otimização de mecanismos de busca), mas também é possível que os invasores estejam simplesmente procurando aumentar o tráfego para os sites de destino. No entanto, os operadores da ameaça também podem decidir abusar do acesso obtido para realizar outras atividades nefastas.
FONTE: CISO ADVISOR