Archivo para abril, 2008
Blogs de WordPress en peligro
abril 16, 2008 5:33 pmDesde hace unos días se ha comenzado a reportar gran cantidad de malware residente en blogs que utilizan WordPress en su versión 2.3.2. y 2.3.3.
Realizando una búsqueda en Google se pueden hallar alrededor de 40.000 sitios modificados a los cuales se le ha agregado una línea invocando un script dañino, como ya nos tienen acostumbrados los atacantes.
Al ingresar a cualquiera de estos sitios, se puede apreciar una supuesta imagen en la parte superior, pero que si se visualiza el código fuente en realidad es una llamada a una función JavaScript ofuscada y dañina que descarga un troyano al equipo del usuario.
Al momento de publicar el presente, se desconoce la metodología utilizada por los atacantes para modificar los sitios, pero se cree que puede ser una vulnerabilidad 0-day para esta plataforma o en un plugin de la misma que permitiría un ataque de SQL Injection.
Actualización 20:00: ya existen algunos conocidos blogs hispanos que están siendo bloqueados por Google debido a que presentan material peligroso:
Al ingresar al sitio afectado, se redirige al usuario a un sitio que simula el Centro de Seguridad de Windows y además descarga un troyano que ESET NOD32 detecta por heurística como probably a variant of HTML/TrojanDownloader.Agent y un troyano detectado como Win32/Agent.NOZ.
Lamentablemente este tipo de acciones ya se ha transformado en normales y sitios inocentes pagan por ello.
Cristian
Phishing en Adwords
abril 15, 2008 4:13 pmMuchas personas piensan que el phishing es una meto de engaño que siempre involucra a una entidad bancaria y, si bien esto no escapa de la realidad, también puede presentarse en páginas que no necesariamente se refieren a entidades financieras o bancarias.
Un ejemplo concreto es el siguiente, un caso de phishing pero a través de AdWords:
Se trata de un correo electrónico no deseado (común del phishing) sobre AdWords, el servicio publicitario de Google. En este caso, la técnica de Ingeniería Social utilizada radica en que para activar la cuenta se debe acceder al enlace que figura en el cuerpo del mensaje. Al ingresar a dicha dirección aparece un formulario para completar con los datos de nuestra tarjeta de crédito, lo que claramente es un engaño:
Como ven, el phishing no solo puede o debe realizarse con entidades bancarias o financieras.
Jorge
Troyanos bancarios y ESET NOD32
abril 14, 2008 1:16 pmUna imagen vale más que mil palabras:
Esto sucede con una variante de un troyano bancario el cual, una vez instalado, verifica la navegación del usuario y si el mismo ingresa a alguno de los siguientes bancos y sitios financieros, envía la información capturada al delincuente:
- bancaja.es
- gruposantander.es
- unicaja.es
- banesto.es
- bancopopular.es
- e-gold.com
- wellsfargo.com
- paypal.com
- usbank.com
- tdcanadatrust.com
- citizensbankonline.com
- nationalcity.com
- suntrust.com
- 53.com
- citibank.com
- bankofamerica.com
- wamu.com
- wachovia.com
- chase.com
- openbank.es
Verifique las actualizaciones de su antivirus y no navegue desde lugares públicos en los cuales no puede asegurar el correcto funcionamiento de las herramienta de seguridad.
Gracias a V. por el informe de que ESET NOD32 era el único antivirus en detectar este malware.
Cristian
