segunda-feira, 1 de novembro de 2010

Novo script malicioso está sendo espalhando no Orkut

Nunca escrevi um artigo assim, mas acredito que será importante para alertar as pessoas que têm acesso à rede social da Google, o Orkut.

O site - www.goooble.com.br -, cujo domínio é um typosquatting do Google, foi registrado junto Registro.br através da UolHost, com dados falsos, conforme se vê nos dados abaixo:

O script está vinculado a este perfil do orkut - http://www.orkut.com.br/Main#Profile?uid=9962132540805863613:

O perfil acima parece inocente, mas o script está onde diz ChateTvOnline(AQUI). Quem clica sobre esse link loga automaticamente na página falsa do Orkut (http://goooble.com.br/accounts/ServiceLogin.php.), que pode copiar os dados de seus cookies (do Orkut) de navegação.
Eis os script:

function addFav(){
3 var url = "http://www.orkut.com.br/Main#Profile?uid=uid do perfil";
4 var title = "Visita meu orkut ?";
5 if (window.sidebar) window.sidebar.addPanel(title, url,"");
6 else if(window.opera && window.print){
7 var mbm = document.createElement('a');
8 mbm.setAttribute('rel','sidebar');
9 mbm.setAttribute('href',url);
10 mbm.setAttribute('title',title);
11 mbm.click();
12 }
13 else if(document.all){window.external.AddFavorite(url, title) } / faltando o ponto e virgula ; antes do }
14} 


O script acima foi criado pelo usuário http://www.orkut.com.br/Main#Profile?uid=10990503359793093188, conforme se vê no próprio corpo do script:

Uma das funções do script é adicionar esta foto (http://img3.orkut.com/images/medium/1286650286/627125585/ln.jpg) nos favoritos.

Eis o perfil, do tal "rodrigo", mesmo nome que consta do e-mail cadastrado junto ao registro de domínios:
Fiz a comunicação à UolHost e estou fazendo a mesma comunicação à Google.


Algumas conclusões:


1) as vulnerabilidades nas redes sociais, principalmente o Orkut continuam ocorrendo e tem o objetivo de capturar dados dos usuários;


2) registrar um domínio no Brasil, mesmo sem qualquer referência ou nome; só com um CPF e pagando R$ 30,00 é fácil o registro e não dificulta as fraudes eletrônicas;


3) todo o cuidado é pouco!


No demais, à apreciação dos doutos que entendem sobre análise de códigos maliciosos.


Quer saber como se proteger, leia este artigo no LinhaDefensiva, site do Altieres Rohr.

10 comentários:

Lucas Masotti disse...

Interessante!
Apenas ao entrar no site os cookies já são capturados, permitindo que o cara roube a senha? :O
Isso é alguma vulnerabilidade de algun navegador em especial, ou de todos?

Porque eu achei que para roubar senhas, só se fosse uma página falsa na qual eu colocasse minha senha ou ao fazer download e executar um keylogger por exemplo.

Blog do Emerson disse...

Lucas,

No caso do Orkut tem sido comum este tipo de script.

Obrigado por comentar.

josé disse...

Uma forma de retirar o script

Removendo o Virus: Gente meu orkut esta doido

Início > Comunidades > Computadores e Internet > Combate a vírus de MSN e Orkut > Fórum: > Mensagens

primeira | < anterior | próxima > | última mostrando 1-4 de 4
11:50 (30 minutos atrás)
ジ Junior
Removendo o Virus: Gente meu orkut esta doido
Primeiro mude a senha do seu orkut.
Depois vc vai deletar o App "ChateTvOnline(AQUI)".
http://www.orkut.com.br/Main#MyApps?rl=ls
Só deletar ele por este link, e clicando no icone do lixeirinho.
Feito isso, vc não está mais com o "virus" na pagina do orkut.
Na verdade não é um virus, existe um código java neste app que redireciona para uma pagina de login falsa do orkut, por isso devem mudar a senha.
Depois disso denuncie esta comunidade:
http://www.orkut.com.br/Main#Community?cmm=107875871
Esta comunidade é quem ta com virus, denucie como span /virus.
============================
Como se proteger?
Instale o Firefox que vc está um pouco mais protegido, e pra ficar ainda mais, instale o app do firefox chamado NoScript.
https://addons.mozilla.org/pt-BR/firefox/addon/722/
O NoScript fica no canto direito da tela, vc coloca permissão apenas para o orkut, e o Script não executa mais.
Se não gostou do NoScript e sabe como se proteger, só é desativa-lo.
===============================
Se resolveu da um UP. E repasse a informação.

Blog do Emerson disse...

Obrigado José pelo acréscimo da informação.

Abraço.

کυвźєяσ╞▬ disse...

ahh mlq tou famoso haha
sou eu msm que poha kkk
ahhh mlq nois que ta caralho
ganhei 150mil orkuts nesta brincadeira :)

Blog do Emerson disse...

Daí Subzero,

Legal você assumir a criação! Sou meio "beto" nisso, por isso vc pode explicar no que consiste esse teu "app"?

Adriane disse...

Olá,

Meu nome é Adriane e também sou finalista do Prêmio Top Blog, na categoria de SUSTENTABILIDADE. Se tiver interesse em dar uma olhadinha, segue o link:

www.cpeaunesp.org

Se gostar, pode votar!XD
Obrigada e boa sorte

کυвźєяσ╞▬ disse...

é assim o app tem uma inframe ,
esta inframe tem um hrml de redrecionamento .
o html redrecionava para uma pagina falsa de login do orkut .
a pessoa logava e criava varios topicos em varias comunidades colocando meu nome e tals.
a pagina falsa não salvava as senhas .
só fiz pra divulgar meu nome msm ,
logo após vc denunciar e eu perder 30R4 que paguei pelo dominio deletei .
mas o intuito era divulgar meu nome .

EricZin disse...

kkk Google esta decadente , essa é a coisa mais amadora que eu ja vi , parabens Subzero , erro da Google que continua lenta e fragil com o Orkut .

TadeuTM² disse...

por isso é bom antes de começar acessar redes sociais , conhecer um pouco sobre paginas fakes , dominios do google , facebook etc
Otimo post