Encontrado novo trojan e mais brechas no site da Vasp

[Black Typhoon]

Encontrado novo trojan e mais brechas no site da Vasp

A segurança do site da Vasp pode ser mais precária do que se supunha. Depois da divulgação de um trojan para roubar senhas bancárias hospedado no servidor da empresa, descobriu-se que o site possuía várias brechas de segurança, um novo trojan foi hospedado nele e até dados de cartão de crédito de clientes foram expostos.

Na terça-feira passada, 18/01, InfoGuerra publicou uma matéria informando que um cavalo-de-tróia, desses enviados por golpistas em mensagens fraudulentas para roubar dados financeiros de internautas desavisados, ficou hospedado no site da Vasp por mais de duas semanas ― desde o final do ano passado. Além dos avisos de usuários que perceberam o programa espião, a empresa tinha sido contatada pela redação na sexta-feira anterior para esclarecer o assunto, mas mesmo assim o trojan permaneceu ainda alguns dias no ar. Somente algumas horas após a publicação da matéria o trojan foi finalmente eliminado do site. Mas a brecha de segurança não foi fechada e, no dia seguinte, golpistas colocaram um novo programa maléfico no servidor da empresa e enviaram uma nova mensagem fraudulenta para milhares de internautas, com um link para o malware.

O falso e-mail trazia uma suposta promoção de celulares GSM da Brasil Telecom com um link apontando para um trojan hospedado na mesma pasta Sitef (sigla de Solução Inteligente para Transferência Eletrônica de Fundos) onde se encontrava o trojan anterior. O arquivo malicioso, de nome gsm.exe, foi detectado como Trojan.Spy.Banbra.Q pelo site VirusTotal (Banbra é uma junção das primeiras sílabas da expressão bancos brasileiros, pois estes são os alvos do malware).

Mais um dia se passou e, no dia 20 de janeiro, a versão online do Correio Braziliense publicou uma matéria informando que “todos os dados de quem comprou passagens aéreas [da Vasp] nos últimos meses ficaram disponíveis em uma página da Internet”. Havia informações sobre reservas e compras, que foram retiradas do ar no mesmo dia de publicação da matéria, mas alguns leitores afirmaram que a lista estava no ar há mais tempo, de acordo com o Correioweb.

Quando estes problemas vieram à tona, InfoGuerra recebeu o e-mail de um leitor que se diz um “consultor independente” que resolveu mostrar as falhas de segurança no site da Vasp sem revelar sua identidade, “para não se expor nem se prejudicar”. Usando o pseudônimo de Dimitri Krovic, ele enviou reproduções de áreas privadas do site e explicações de como seria possível acessá-las.

Os problemas relatados são bem conhecidos: basicamente, extensões de FrontPage mal configuradas e SQL Injection. As extensões de FrontPage permitem que se acesse áreas do servidor apenas usando o editor de HTML FrontPage, da Microsoft. A tela reproduzida por Dimitri mostrava um diretório com várias pastas, incluindo aquela na qual haviam sido inseridos os trojans. Já os problemas (confirmados) de SQL Injection (injeção de comandos especiais em campos de bancos de dados) davam acesso a áreas restritas do site, com informações privadas de funcionários, rotas de vôos, e outras, além de acesso à intranet da rede corporativa, conforme se vê nesta imagem (o endereço da página foi mascarado por questões de segurança).

Na quinta-feira, dia 20, InfoGuerra falou com Pedro Mantovani, gerente de informática e telecomunicações da Vasp, e enviou-lhe uma cópia da mensagem fraudulenta com o novo trojan. Ao telefone, ele pareceu um tanto desorientado com todos os problemas que estavam surgindo e disse que iria ligar no dia seguinte, com algumas informações. Garantiu, porém, que nenhum cliente da Vasp tinha sido prejudicado com a exposição de seus dados de cartão crédito. Neste dia, o segundo trojan também foi retirado do site.

Na sexta-feira, Mantovani não ligou. Na segunda-feira, enviamos, para ele e para a assessoria de imprensa da Vasp, cópia do e-mail de Dimitri Krovic com as informações sobre as vulnerabilidades, e pedimos algumas explicações. Não houve resposta para o e-mail, mas o endereço que dava acesso aos dados internos da empresa foi tirado do ar. Não se sabe se as vulnerabilidades do site foram definitivamente corrigidas.

Já há algum tempo, a Vasp vem enfrentando diversos problemas financeiros, que se refletem em vários setores da companhia, e certamente também no de TI. A empresa está com salários de dezembro atrasados, tem cancelado vôos com menos da metade de ocupação da nave e feito promoções de bilhetes não-reembolsáveis. O ministro da Defesa e vice-presidente da República, José Alencar, já cogitou a possibilidade de intervenção nos rumos da companhia, transformando-a em empresa de fretamento de aeronaves.

Telhado de vidro

Existem alguns fatos irônicos com a divulgação, pelo Correioweb, da brecha de segurança no site da Vasp, que expôs dados de cartão de crédito dos clientes. O site do jornal também possuía uma brecha, a qual possibilitou que trojans fossem inseridos em seu servidor e usados em golpes contra clientes de Internet Banking. A existência do problema também tinha sido comunicada à empresa vários dias antes, mas mesmo assim o trojan continuou no ar.

O analista de segurança Salomão de Oliveira, o mesmo que recebeu mensagens com os dois trojans no site da Vasp e já havia alertado a companhia aérea anteriormente, sem sucesso, recebeu também um outro e-mail, no dia 11 de janeiro, com link para um falso gerador de créditos para telefone celular. O programa, na verdade, era um cavalo-de-tróia, hospedado no fórum sobre concursos divulgados pelo jornal (http://concursos.correioweb.com.br/foru ... ofacil.exe). No mesmo dia, Salomão enviou uma cópia do e-mail fraudulento para cinco contas de e-mail do Correioweb, incluindo a do repórter Renato Ferreira, que posteriormente produziu a matéria sobre a Vasp.

No entanto, o trojan permaneceu no ar pelo menos até o dia 20, quando InfoGuerra recebeu a informação do analista de segurança e entrou em contato por telefone com o Correioweb, avisando do problema. O webmaster do site confirmou a presença do programa maléfico e revelou a existência de alguns outros arquivos de mesma natureza no servidor.

Posteriormente, afirmou que a mensagem de Salomão tinha sido erroneamente classificada como spam, por isso não foi lida pelos destinatários. Disse também que estavam sendo feitas análises para descobrir como alguns usuários conseguiram enviar trojans para o servidor.

Uma análise do arquivo creditofacil.exe, feita no site VirusTotal, mostra que se trata do Trojan.Spy.Banbra.Q, o mesmo que foi inserido no site da Vasp. “Parece que a falha não é só da Vasp, como eles noticiaram”, comenta Salomão Oliveira.

Fonte: Giordani Rodrigues (InfoGuerra - 26/01/2005)