Crackers usando um novo esquema continuam subvertendo centenas de milhares de páginas da internet com redirecionamentos IFrame. Pelo ataque, essas páginas direcionam usuários desavisados a sites contendo malware, segundo pesquisadores anunciaram nesta quinta-feira (13).

Os ataques, iniciados cerca de uma semana atrás, não mostram sinais de desaceleração, disse Dancho Danchev em um post colocado em seu blog. “O grupo continua expandindo a campanha”, disse o pesquisador búlgaro. “Eles mantêm alguns sites principais sob sua mira nas últimas 48 horas, com o número de páginas cacheadas localmente e com IFrame injetados em suas ferramentas de busca.”

Danchev listou mais de 20 sites que juntos respondem por mais de 401 mil páginas com IFrame. Esses sites incluem sites de grande abrangência, como o da biblioteca da Universidade Estadual da Carolina do Norte e páginas governamentais, bem como sites questionáveis, como os sites BitTorrent que hospedam software e outros conteúdos pirateados.

Os ataques “continuam crescendo”, disse Greenbaum, gerente sênior de pesquisas da Symantec. Ele explica que os ataques, que não se resumem ao controle de sites, utilizam caches de resultados de pesquisas mantidos por essas páginas.

Outros destaques do COMPUTERWORLD:
> É oficial: a Apple é a nova Microsoft
> Cinco razões para não adotar o sistema operacional Leopard
> Oito segredos que fazem da Apple a número um
> Apple supera expectativa no seu quarto trimestre de 2007
> Por que a Microsoft deveria temer a Apple

Provavelmente utilizando uma ferramenta automatizada para fazer o trabalho sujo, os hackers adicionam códigos IFrame aos resultados salvos nesses sites, explica Greenbaun. O visitante seguinte a utilizar a ferramenta de busca é então direcionado a um outro site pelo código IFrame.

O segundo site, por sua vez, mostra uma mensagem comunicando que um novo codec precisa ser instalado. Ao aceitar esse codec, o usuário é redirecionado a um terceiro site, que de fato hospeda o malware – uma nova variante do cavalo de Tróia Zlob – e o instala no computador da vítima. “Há diversos níveis de redirecionamento em prática aqui”, disse Greenbaun.

Em seu post publicado nesta quarta-feira (12), Danchev disse que havia identificado mais de 100 domínios .info atuando no segundo estágio de redirecionamentos.

“Essa tática de envenenar resultados de buscas recentes é uma novidade surgida há cerca de uma semana ou coisa assim”, afirma Greenbaum. “Mas há uma série de coisas que podemos fazer para prevenir isso.”

Se o usuário rejeitar a chamada para instalar o codec, a corrente é quebrada, e ele está livre de qualquer problema. Operadores de sites, por outro lado, podem tomar uma série de procedimentos, incluindo a limpeza adequada de todos os inputs dos usuários e a configuração para que os computadores não armazenem cachês de buscas anteriores.

Mas Danchev foi mais pessimista e na acredita que os ataques possam ser detidos tão rapidamente. “Para resumir, é uma bagunça”, disse ele.