Site do governo brasileiro propaga phishing kit

O site do governo brasileiro da Prefeitura Municipal de Esperança foi vítima de outro comprometimento. Diz-se que essa foi a terceira vez em um período de dois meses que o site do governo foi vítima de cibercriminosos, sendo usado como cúmplice de suas atividades cibercriminosas. Outros ataques relatados levaram o site a hospedar conteúdo malicioso, feito para ser usado em uma série de ataques de phishing. Em um dos casos, um ataque também usou o site para hospedar malware drive-by que pode ser instalado no sistema de uma vítima desavisada.

O ataque mais recente, relatado na semana passada, utiliza um phishing kit que consegue roubar credenciais de email. Apesar do kit ter diferentes variações, a página de phishing exibe a mesma mensagem de erro na tela do usuário, mesmo depois das credenciais corretas terem sido digitadas. Essas credenciais então são enviadas para o cibercriminoso de maneira remota. Alvos comuns de vigaristas online, as credenciais de email são frequentemente usadas para comprometer outras contas associadas, em diferentes plataformas e canais.

Em dezembro passado, o primeiro de uma série de ataques foi realizado usando conteúdo que deixou o site vulnerável, hospedando um ataque de phishing dirigido aos clientes do banco Wells Fargo. Apesar do conteúdo malicioso injetado ter sido removido, o site foi alvo mais uma vez em janeiro de outro esquema de phishing que visava clientes do PayPal. Esse último golpe não apenas roubou credenciais do PayPal e informações bancárias, mas também tentou injetar malware drive-by usando iframes escondidos.

Com a repetição do comprometimento do site mencionado, a inteligência oficial de cibernética e segurança julga que o site contém uma lacuna de segurança que ainda não foi corrigida, facilitando para os cibercriminosos subirem conteúdo malicioso remotamente para o servidor da web.

Outros pesquisadores consideram que a onda de ataques ao site pode ser atribuída à versão vulnerável do WordPress (4.0.9), usada pelo site para hospedar seu conteúdo. O WordPress, em uma assessoria separada, observa que versões anteriores ao lançamento mais recente (4.4.1) não são mantidas e seu uso não é recomendado. Também foi observado que o fato do usar uma plataforma de hospedagem compartilhada também pode ter sido um fator. Mais de 70 sites estão utilizando o mesmo endereço IP usado pela Prefeitura Municipal de Esperança. Pode se concluir que qualquer vulnerabilidade que exista em quaisquer outros sites não governamentais poderia ser fundamental para realizar um ataque ao site do governo.