Campanha maliciosa usa Baidu como isca para infectar vítimas

A primeira se dá quando um código cria um número de cookies de rastreamento usando JavaScript, que mantém o controle do tempo e número de visitas em tempo real. Com isso, listam-se os interesses deste usuário e toda vez que acessa esta página da web, o browser é redirecionado a um conjunto de páginas infectadas do mesmo grupo. No caso Baidu, um ID de anúncio publicitário é mantido até que a norma API seja substituída pelos falsos códigos de acesso.

Já a segunda fase começa quando o anúncio está comprometido e a URL inicia o ataque em busca do script real. Este pedido é feito por meio do servidor de anúncios utilizando o ID comprometido. Nesta etapa, acontecem diversos processos simultaneamente.

Assim que recebeu a notificação do ciberataque, em meados de outubro de 2015, o Baidu tomou todas as precauções para detê-lo. Entretanto, até fevereiro deste ano havia resquícios ativos.

A Baidu também tem realizado buscas minuciosas e operações de limpeza em seus espaços publicitários. A coleta de provas com base na conta atacante foi finalizada e todo conteúdo malicioso.

Até o fim do mês de março, o site passa pelo processo de desligamento do canal de upload de roteiros definidos pelo usuário e de Flash em sua plataforma de anúncios. Isto significa que campanhas de malwares semelhantes já não podem mais hospedar seus conteúdos em espaços de anúncios do Baidu.

Outras medidas adotadas pelo site chinês foram: a obrigatoriedade de que todas as contas existentes ou novas registrem um número de telefone celular e nome de domínio – ambos legais na China – para que haja verificação. Identidades de contas relacionadas a conteúdos maliciosos podem ser fornecidas para as agências de aplicação da lei. O mecanismo de detecção para capturar conteúdo malicioso hospedado na plataforma de anúncios tem sido constantemente melhorado e todo o conteúdo existente e já carregado deverá ser digitalizado.