Kit de exploração atinge usuários
A Trend Micro identificou nas últimas semanas um ataque que vem afetando usuários em todo o mundo, especialmente no Japão. O golpe é aplicado por um kit de exploração específico acessado a partir de add-on para sites, sem depender de mensagens de spam ou sites comprometidos.
O ataque em si é voltado largamente aos usuários japoneses, que respondem por 87% dos ataques. No total, foram identificados pelo menos 58 mil usuários afetados e o Brasil está entre os cinco países com maior incidência no golpe, ainda que corresponda a apenas 0,77% dos casos.
As páginas de destino do kit de exploração estão hospedadas em servidores na República Checa, Holanda e Rússia. O add-on especifico é usado por proprietários de sites que querem adicionar botões de compartilhamento de mídias sociais em suas páginas: tudo o que o proprietário do site tem que fazer é adicionar algumas linhas de código JavaScript - disponível
gratuitamente no site que disponibiliza o add-on - ao template de design da plataforma.
Para fazer isso, é carregado um arquivo de JavaScript na página inicial do add-on. Isso por si só já deve levantar bandeiras vermelhas, uma vez que o proprietário do site está carregando scripts de um servidor externo que não está sob seu controle. Carregar scripts em sites confiáveis como o Google, o Facebook ou outros de nomes bem conhecidos é uma coisa, carregar scripts em servidores pequenos e desconhecidos que não têm uma marca para proteger, é outra.
Os proprietários de sites devem ser muito cautelosos sobre a inserção de add-ons em suas páginas que contam com scripts hospedados externamente. Como mostrado neste ataque, eles trivialmente são usados para atividades maliciosas e, além disso, também podem diminuir a velocidade de navegação do site. Alternativas que hospedam o script no mesmo servidor do site devem ser preferíveis.