Defacement: veja como acontece

Paulo Brito
14/09/2018

O site da Unimed do Paraguai amanheceu hoje desfigurado: sua home page foi invadida por um hacker brasileiro que substituiu todo o conteúdo da página por uma imagem animada acompanhada pelo som de um funk. Esse tipo de vandalimo é um dos mais praticados na Internet, principalmente por jovens que descobrem as vulnerabilidades de uma página e sabem injetar um script. Sozinhos ou agrupados, eles colecionam essas “vitórias” às centenas e publicam no Zone-H, site especializado no registro de defacements.

Luke Leal, um dos principais analistas de segurança da empresa norte-americana Sucuri, publicou ontem no blog da empresa uma descrição detalhada de como isso é feito e como se pode evitar.

Desfiguração é o tipo de hack mais fácil de se perceber e um pesadelo para os proprietários de sites. Recentemente, encontramos algumas páginas desfiguradas com uma injeção de JavaScript incluída no código-fonte.

O Que é uma Desfiguração de Site?

A desfiguração de site é um hack que geralmente envolve a adição de imagens maliciosas na página inicial do site e em outras páginas importantes. Além do constrangimento inicial, os efeitos do desfiguramento podem incluir perda de tráfego, receita e confiança em sua marca.

Geralmente, as desfigurações são simples e exigem pouco conhecimento técnico. Os hackers costumam utilizá-los para difundir a conscientização sobre um problema e é frequentemente chamado de “hacktivismo” – seja social ou político.

Um site desfigurado também afeta negativamente a maneira como seu público se relaciona com sua marca. Isso é especialmente verdadeiro se você tiver um site de e-commerce porque os clientes em potencial podem acreditar que a segurança é um problema em seu site.

Com Que Frequência Você Vê Sites Desfigurados?

No último relatório de tendências de sites hackeados, mostramos que sites desfigurados compõem cerca de 5,5% das famílias de malware que rastreamos em 2017. Isso representa um aumento de 1,5% em relação ao total de sites limpos pela Sucuri em 2017.

Como as desfigurações de sites são altamente visíveis, elas geralmente são notadas imediatamente pelos visitantes. Portanto, os proprietários de sites tendem a lidar com elas rapidamente.

Ao procurar por desfigurações de sites (defacements), a maioria dos scanners de segurança procura palavras-chave, como “hackeado por ____”.

A Injeção JavaScript

Como você verá abaixo, essa injeção de JavaScript é bem peculiar, já que aparentemente não oferece nenhum benefício para o hacker:

Clique para ampliar

O código JavaScript injetado contém alguns detalhes da conexão do cliente com o servidor HotSpot Shield VPN e, em seguida, executa um arquivo JavaScript a partir do box.anchorfree.net

Este tipo de conteúdo não foi visto em nenhuma outra forma de malware; somente a típica mensagem “Hackeado por _____” ou “Propriedade de _____” ou uma desfiguração indesejada de algum site.

VPN Gratuito HotSpot Shield

Uma única pesquisa no Google revelou que o anchorfree.net está associado ao HotSpot Shield VPN popular. Ele tem milhões de downloads somente na Google Play Store (o HotSpot Shield VPN também oferece plugins de navegador para usuários de aparelhos não móveis).

Existe uma versão gratuita e paga desse serviço de VPN. No entanto, no último ano, autoridades federais começaram a investigá-lo por práticas enganosas, detalhadas nesta queixa oficial contra o VPN.

Então, o que isso tem a ver com hackers e suas páginas de desfiguração? Bem, nós sabemos (na maioria dos casos) que os hackers querem ser anônimos. Hoje em dia, isso geralmente envolve o uso de pelo menos uma VPN ou mais.

No entanto, hackers (ou script kiddies) que realizam desfigurações são frequentemente inexperientes. Eles podem não ter a suspeita que devem ter quando lidam com serviços “gratuitos”, como o HotSpot Shield VPN, ou qualquer outro serviço online gratuito. A pergunta que devem fazer é como monetizar sua operação?

A forma específica de monetização do HotSpot Shield consiste em injetar código JavaScript nas solicitações do navegador de seus usuários não pagantes (não sabemos se isso é verdade para a versão paga premium). O código malicioso é então usado com JavaScript adicional de alguns outros domínios de terceiros:

 

Clique para ampliar

O snippet acima é apenas um pequeno trecho das quase 2.000 linhas de JavaScript. O código inclui estilos CSS ocultos e um iFrame invisível, ambos são métodos populares de fornecimento de payloads de JavaScript. Além disso, esse código do domínio controlado pelo hacker usa imagens de rastreamento e injeta anúncios no navegador do cliente.

Hackers Também São Vulneráveis

O objetivo de explicar como o HotSpot Shield VPN funciona é mostrar que até hackers podem ser vítimas de um dos maiores obstáculos na segurança de sites: a capacidade do ser humano de substituir configurações que seriam seguras.

Esse é o caso mais comum de download de algum tipo de software – neste caso, um serviço VPN gratuito – expondo de forma inesperada o usuário a malware ou a PUPs (programas potencialmente indesejados – potentially unwanted programs).

Outro exemplo comum desse fator humano é a engenharia social: manipulação psicológica realizada para obter informações pessoais ou para que alguém realize ações indesejadas.

Resumindo: é muito importante sempre suspeitar de produtos anunciados como “gratuitos”. É preciso perguntar o que o produto ou serviço pode estar dando, aproveitando ou expondo em troca de seu serviço gratuito.

O Que Aconteceu com os Sites Desfigurados?

Nesses casos de desfiguração, o hacker inexperiente dependia de um serviço VPN gratuito que inadvertidamente injetava JavaScript em seu navegador.

Quando o invasor criava a página de desfiguração (por meio de um editor online ou interface de navegador), isso fazia com que o JavaScript VPN do HotSpot Shield fosse passado como texto para a página, em vez de ser executado no navegador do cliente como pretendido.

Como Proteger meu Site contra Desfigurações?

Se você está preocupado com desfigurações, aconselhamos tomar precauções. Primeiro de tudo, tenha um website application firewall ativado em seu site para reduzir o risco de infecções no site. Em seguida, tenha uma boa solução de backup para que seu site possa ser recuperado após uma catástrofe.”

Sobre Luke Leal

Luke é Analista de Segurança da Sucuri. Ele adora melhorar a performance do seu desktop e acredita que os jogos foram responsáveis por seu interessasse em computadores. Quando não está salvando sites, gosta de fazer caminhadas na natureza, ou assistir vídeos no YouTube.

Compartilhar: