O Trojan Gumblar Reaparece e Explora Vulnerabilidades no Adobe Reader e no Acrobat
Os pesquisadores de segurança estão testemunhando o ressurgimento do Gumblar, um pedaço de um código malicioso, que é transmitido por meio de sites inseguros ou de sites legítimos comprometidos.
O Gumblar foi encontrado em milhares de sites legítimos, depois que tornou a entrar em ação aqui, desde maio deste ano. Os sites comprometidos foram injetados com códigos maliciosos, para mostrar um iframe que permite que um invasor transfira o conteúdo de um site para outro. O iframe leva os usuários de computador para o domínio do Gumblar (dot) cn (leia mais sobre gumblar (dot) cn) sem que eles suspeitem, quando então, o sistema pode ser explorado, através de vulnerabilidades do software, dentro de aplicativos do Adobe Systems.
Com o passar do tempo, especialmente a partir de maio deste ano, o Gumblar mudou os seus métodos de propagação na Internet. O Gumblar foi atualizado, para colocar o código malicioso diretamente no site comprometido, ao invés de hospedar a carga em um servidor remoto. Isso permite que os hackers que estão por trás do Gumblar deslizem pelas rachaduras, no caso do domínio host malicioso ser desativado por um ISP.
Os criadores do Gumblar foram tão longe, que conseguiram injetar iframes maliciosos em fóruns, os quais iniciam um ataque de drive-by, expondo os usuários a conteúdos mal-intencionados, no instante em que eles visitam um site legítimo que foi comprometido. Depois de infectar um computador, o Gumblar é capaz de procurar pelas credenciais FTP, que os hackers vão usar para comprometer outros sites.
Figura 1. Gráfico das Atividades dos PDFs Maliciosos do Gumblar
Houve um tempo em que acreditou-se que o Gumblar era uma das maiores ameaças existentes na Internet devido à sua capacidade de se espalhar através de sites FTP infectados e roubar credenciais de um sistema comprometido. Os pesquisadores da IBM acreditam que os ataques do Gumblar pode estar conectados com a fraude do pague para clicar, porque ele é capaz de seqüestrar o programa do navegador do Internet Explorer e substituir os resultados de pesquisa do Google pelos dos sites comprometidos. O gráfico das "Atividades do Gumblar - PDFs Maliciosos" apresentado na Figura 1, demonstra um aumento nos ataques recentes, que o Sistema de Segurança da Internet da IBM tem visto em suas conexões globais, com arquivos Adobe PDF mal-intencionados. A onda do Gumblar, ironicamente, foi notada após o Adobe lançar um lote de correções de segurança atualizadas, para as versões do Adobe Reader, do Acrobat 9.1.3 e para as versões anteriores. A vulnerabilidade está sendo explorada ativamente com os PDFs maliciosos, pelos criminosos informáticos.
Nós acreditamos que o Gumblar pode vir a ser uma das ameaças mais agressivas na Internet. Se armazenar as credenciais de login de FTP no seu computador, você deve proteger fortemente essa informação. Se o seu sistema sucumbir a um ataque do Gumblar, você pode colocar em risco os outros usuários de computador, que visitarem o site que você executa. Recomenda-se que os usuários do Adobe Reader e do Acrobat se atualizem para as versões 9.2 para o Adobe Reader e 9.2 para o Acrobat.