Website do Ministério do Trabalho invadido e usado para divulgar malware

Quando recebo esse tipo de e-mail, normalmente verifico os links para avisar os administradores dos websites. Para minha surpresa, o primeiro link vai direto para um website da editora McGraw-Hill. Um script de redirecionamento escrito em PHP redireciona para um website do Ministério do Trabalho. Lá está hospedado o arquivo malicioso.

Aguardei a remoção do arquivo e durante a escrita desse post, eles finalmente retiraram o maldito do ar.

O e-mail foi esse abaixo. Simples e direto, como toda engenharia social. Repare que o remetente é um nome comum com dois nomes conhecidíssimos do público: Windows + Live.

Os links apontam todos para o endereço www.glencoe.com/ebooks/literature/9780078793028/[editado].php?html=Fotos2009. Olhe de quem é o domínio:

O arquivo malicioso está hospedado num website do Ministério do Trabalho, subdomínio de Santa Catarina, o FundaCentro (Fundação Jorge Duprat Figueiredo de Segurança e Medicina do Trabalho). Olhando a url, resolvi fazer a coisa mais imbecil do mundo: remover uma a uma para enxergar a permissão de pastas. E elas estão abertas como a Jesse Jane:

Eu avisei os responsáveis e o pessoal do Ministério foi mais ágil que os americanos e o endereço já não oferece mais perigo. O script no website da McGraw-Hill continua “vivo” e portando, não está divulgada o nome da página que pode ser redirecionada para outro endereço de download do malware.

Moral da história: o elo fraco da segurança ainda são os humanos. Não adianta ter o cofre mais seguro do mundo se você ensina todo mundo a deixar ele aberto.