Site oficial do PHP infectado com malware

Hackers conseguiram injetar um iframe no site oficial do PHP, o php.net, o qual levava os usuários para outros domínios que hospedavam malware. A ameaça ficou no ar por pelo menos 3 dias, entre 22 e 24 de outubro de 2013. Por se tratar de um site de grande visibilidade e que é acessado basicamente por desenvolvedores, o impacto potencial é grande.

Aviso de segurança no Chrome

O Spiderlabs da Trustwave publicou uma análise detalhada de como o ataque funcionava. Ainda não se sabe qual a técnica utilizada para comprometer inicialmente o site do PHP, mas medidas adicionais de segurança como por exemplo o uso de Web Application Firewall (WAF) á frente do servidor poderiam ter minimizado o impacto ao modificar o header antes dele chegar ao browser da vítima.

O ataque fazia uso do Magnitude Exploit Kit, que faz uso de diversos ataques contra Java, Acrobat e outros para distribuir a sua carga. O Magnitude tem crescido rapidamente desde a prisão do hacker conhecido como “Paunch” na Rússia, suposto autor do Blackhole Exploit Kit, que era até então o exploit kit mais bem sucedido.

Dependendo do objetivo inicial do atacante, este tipo de ataque pode ser caracterizado como um Watering Hole, técnica que cobrimos recentemente no nosso webinar sobre segurança de aplicações web.