titulo

titulo

O renomado site da Certificação de segurança EC-Council tem servido de plataforma para o Exploit Angler Kit (EK) pelos últimos dias, segundo pesquisadores de segurança da Fox-IT warn. A variante do Angler EK usada nessa campanha está utilizando o ransomware TeslaCrypt como componente malicioso, que por sua vez criptografa os arquivos no computador infectado e os mantêm refêns até o pagamento do resgate.

De acordo com o analista sênior de inteligência de ameaça da Fox-IT, Yonathan Klijsma, o site foi detectado redirecionando os visitantes ao Angler EK na segunda, 21 de Março, e o redirecionamento continua até a data presente, embora o EC-Council tenha sido alertado sobre esse evento. O pesquisador elucida que o redirecionamento apenas é efetuado se o visitante utiliza o Internet Explorer, navegador da Microsoft, se ele acessa a partir de um motor de busca tal qual o Google ou Bing, e se ele não visita o site a partir de um endereço IP bloqueado ou pertecente a uma geolocalização bloqueada. Basicamente, i ataque foi desenvolvido para evitar infectar usuários em certos países, afirma Klijnsma.

Os pesquisadores descobriram que o código malicioso responsável pela injeção de redirecionamento é um código PHP no servidor web, e que o culpado pode ser uma falha de segurança no site, devido a utilização do WordPress CMS que é uma plataforma alvo popular para cibercriminosos.Assim que o usuário acessa a página do Angler, o EK busca explorar a vulnerabilidade no browser, Flash Player, ou Silverlight para entregar o conteúdo malicioso. Se uma vulnerabilidade é encontrada, o Angler inicia o componente Bedep, que por sua vez inicia o download da carga final, o encriptador ransomware.

Esta campanha de malware do Angler EK recentemente afetou outros sites populares, como msn.com, bbc.com, aol.com, nfl.com, dentre outros. Ilia Kolochenko, CEO da High-Tech Bridge alerta que os profissionais de cibersegurança subestimam o impacto que um site comprometido por ter em suas redes, propriedade intelectual ou dados de clientes. Mesmo que o site não contenha um único dado sensível, ele pode permitir acesso aos sistemas internos.

O comprometimento do site do EC-Council é um importante sinal de que os cibercriminosos começaram a tornar alvo o público de segurança da informação com regularidade, de forma a comprometer as suas máquinas, e além, seus segredos de ciberseguraça corporativos. Ataques a funcionários de cibersegurança irá se tornar um sério problema no futuro próximo e vindouro, de tal forma que o comprometimento da administração da segurança de rede implica no comprometimento de toda a companhia ou organização, alerta Kolochenko.

Fonte: http://www.theregister.co.uk/security/