Todo lo que usted debería saber sobre MPack
"El pasado día 19 alertábamos de un ataque a gran escala contra webs europeas, que tenía como último objetivo robar las claves de acceso a la banca por Internet de los usuarios que las visitaran. Después del aviso el ataque fue neutralizado en menos de 24 horas, a día de hoy podemos ofrecer nuevos datos sobre el incidente. Más de 11.000
páginas webs fueron modificadas para redirigir a sus visitantes de forma oculta a un tercer servidor web malicioso. El usuario afectado en ningún momento era consciente de nada anormal, veía con normalidad la web a la que se había dirigido, toda la conexión maliciosa se hacía en un segundo plano."
(Una al día, 21/06/2007, Resaca del ataque masivo a través de webs comprometidas, http://www.hispasec.com/unaaldia/3162)
* ¿Qué es MPack?
MPack es una de las más recientes "caja de herramientas" pensada para manejar la infección de personas y servidores.
No requiere conocimientos profundos, ni tampoco demasiado trabajo manual para utilizarla. Sin embargo, no es tan nueva como algunos piensan. Desde hace más de un año han sido reportados casos de ataques provocados por esta herramienta, la que ha tenido varias actualizaciones desde su creación.
* ¿Cualquier persona puede acceder a MPack?
Eventualmente si, pero debe tener dinero para comprarla.
MPack se vende en foros underground de Rusia a precios que
van de los 500 a los 1000 dólares. El autor (un grupo
conocido como $ash), clama que los ataques tienen de un 45 a
un 50 por ciento de probabilidades de ser exitosos.
* ¿Que hace MPack?
MPack son varios módulos. Su primer objetivo es comprometer
un sitio Web. Pero básicamente, el que compra el programa,
debe instalar el juego de herramientas en un servidor al que
pueda acceder y comprar los nombres de usuario y contraseña
para conseguir el acceso a servidores comprometidos.
Entonces, el atacante modifica los archivos existentes en
esos servidores, agregando etiquetas IFRAME al código HTML,
para que el visitante a esos sitios sea redireccionado al
servidor del atacante.
Luego de logrado esto, otros componentes de MPack explotarán
los potenciales agujeros de seguridad que el usuario tenga en
su computadora, para poder descargar y ejecutar otros
malwares.
Cada uno de los componentes de MPack que le permite explotar
nuevas vulnerabilidades, tiene un costo extra, que puede ir
de los 100 a los 300 dólares, o más en algunos casos.
* ¿Puede un usuario "infectarse" con MPack?
Un usuario común y corriente, no puede infectarse con MPack.
Ni aún visitando un sitio comprometido con MPack se infectará
con MPack. Su sistema será comprometido por cualquier otro
malware que se pueda instalar en su PC, solo si no tiene todo
su software al día (sistema operativo y aplicaciones que
utiliza, esto incluye navegadores, reproductores multimedia,
programas de mensajería instantánea, chat, IRC, correo
electrónico, etc.)
* Si el antivirus no detecta MPack, ¿me protege de MPack?
MPack es una herramienta que jamás llegará al PC del usuario
común (y si lo hiciera, no haría absolutamente nada malo
allí, ya que no es su objetivo). El antivirus nos protegerá
de la mayoría de los malwares que los servidores
comprometidos con MPack intentarán enviarnos cuando visitemos
esos sitios.
Pero no hay nada nuevo en esto. Un antivirus debe protegernos
siempre de la mayoría de los códigos maliciosos que intenten
atacarnos. Aquí es donde se vuelve vital un producto
antivirus con capacidad proactiva, ya que con MPack o sin
MPack, un antivirus debe reaccionar a las nuevas amenazas,
aún antes de que estas sean identificadas con un nombre.
De todos modos, es esencial mantener todos nuestros programas
al día, con todas las últimas actualizaciones instaladas,
porque MPack buscará las últimas vulnerabilidades
descubiertas para comprometer los sistemas de los usuarios
que no actualizan su software.
El consumidor medio puede estar consciente de que debe
actualizar Windows con los parches de Microsoft (aunque a
veces no lo haga), pero tal vez ignore que también debe
actualizar todas las aplicaciones de terceros que utiliza
(Más información: "Nuestra seguridad no solo depende del
antivirus", http://www.vsantivirus.com/21-05-07.htm)
* Si tengo un servidor web ¿me puede infectar MPack?
No es MPack el que puede infectar su servidor. Si MPack puede
instalarse en el mismo, o modificar sus páginas, es porque su
servidor tiene potenciales agujeros de seguridad que usted
ignora. Mantener al día el software que utiliza en su
servidor web, es la mejor manera de protegerse de amenazas
como MPack.
MPack no es la enfermedad, es el síntoma que le indica que su
sistema tiene grandes vulnerabilidades. Hasta que no las
corrija, aún cuando limpie los archivos modificados por
MPack, estos volverán a ser fácilmente modificados.
Esa es la única razón de la gran cantidad de sitios web comprometidos de los que la prensa ha sacado grandes titulares en los últimos días. El problema principal no es
MPack, el gran problema es que una inmensa cantidad de servidores no cuidan su seguridad manteniendo su software actualizado, y no cambia regularmente sus contraseñas, las que además deben ser siempre fuertes (es decir de muchos caracteres, letras y números, mayúsculas y minúsculas, etc.).
* Más información:
MPack, el gran generador de "hypes"
http://www.vsantivirus.com/rab-MPack-hypes.htm
Malware empaquetado y a la venta
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=821
Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223
Marta Torné y el ataque basado en webs
http://blog.hispasec.com/laboratorio/224
¿Cómo comprometer más de 10.000 sitios web?
http://blog.hispasec.com/laboratorio/225
Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162
MPack uncovered!
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-
uncovered_2100_.aspx
MPack, Packed Full of Badness
http://www.symantec.com/enterprise/security_response/weblog/2007/05/MPack_packed_full
_of_badness.html
Malicious Website / Malicious Code: Large scale European Web Attack
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782
MPack Analysis
http://isc.sans.org/diary.html?n&storyid=3015
Fuente: http://www.vsantivirus.com/faq-mpack.htm
páginas webs fueron modificadas para redirigir a sus visitantes de forma oculta a un tercer servidor web malicioso. El usuario afectado en ningún momento era consciente de nada anormal, veía con normalidad la web a la que se había dirigido, toda la conexión maliciosa se hacía en un segundo plano."
(Una al día, 21/06/2007, Resaca del ataque masivo a través de webs comprometidas, http://www.hispasec.com/unaaldia/3162)
* ¿Qué es MPack?
MPack es una de las más recientes "caja de herramientas" pensada para manejar la infección de personas y servidores.
No requiere conocimientos profundos, ni tampoco demasiado trabajo manual para utilizarla. Sin embargo, no es tan nueva como algunos piensan. Desde hace más de un año han sido reportados casos de ataques provocados por esta herramienta, la que ha tenido varias actualizaciones desde su creación.
* ¿Cualquier persona puede acceder a MPack?
Eventualmente si, pero debe tener dinero para comprarla.
MPack se vende en foros underground de Rusia a precios que
van de los 500 a los 1000 dólares. El autor (un grupo
conocido como $ash), clama que los ataques tienen de un 45 a
un 50 por ciento de probabilidades de ser exitosos.
* ¿Que hace MPack?
MPack son varios módulos. Su primer objetivo es comprometer
un sitio Web. Pero básicamente, el que compra el programa,
debe instalar el juego de herramientas en un servidor al que
pueda acceder y comprar los nombres de usuario y contraseña
para conseguir el acceso a servidores comprometidos.
Entonces, el atacante modifica los archivos existentes en
esos servidores, agregando etiquetas IFRAME al código HTML,
para que el visitante a esos sitios sea redireccionado al
servidor del atacante.
Luego de logrado esto, otros componentes de MPack explotarán
los potenciales agujeros de seguridad que el usuario tenga en
su computadora, para poder descargar y ejecutar otros
malwares.
Cada uno de los componentes de MPack que le permite explotar
nuevas vulnerabilidades, tiene un costo extra, que puede ir
de los 100 a los 300 dólares, o más en algunos casos.
* ¿Puede un usuario "infectarse" con MPack?
Un usuario común y corriente, no puede infectarse con MPack.
Ni aún visitando un sitio comprometido con MPack se infectará
con MPack. Su sistema será comprometido por cualquier otro
malware que se pueda instalar en su PC, solo si no tiene todo
su software al día (sistema operativo y aplicaciones que
utiliza, esto incluye navegadores, reproductores multimedia,
programas de mensajería instantánea, chat, IRC, correo
electrónico, etc.)
* Si el antivirus no detecta MPack, ¿me protege de MPack?
MPack es una herramienta que jamás llegará al PC del usuario
común (y si lo hiciera, no haría absolutamente nada malo
allí, ya que no es su objetivo). El antivirus nos protegerá
de la mayoría de los malwares que los servidores
comprometidos con MPack intentarán enviarnos cuando visitemos
esos sitios.
Pero no hay nada nuevo en esto. Un antivirus debe protegernos
siempre de la mayoría de los códigos maliciosos que intenten
atacarnos. Aquí es donde se vuelve vital un producto
antivirus con capacidad proactiva, ya que con MPack o sin
MPack, un antivirus debe reaccionar a las nuevas amenazas,
aún antes de que estas sean identificadas con un nombre.
De todos modos, es esencial mantener todos nuestros programas
al día, con todas las últimas actualizaciones instaladas,
porque MPack buscará las últimas vulnerabilidades
descubiertas para comprometer los sistemas de los usuarios
que no actualizan su software.
El consumidor medio puede estar consciente de que debe
actualizar Windows con los parches de Microsoft (aunque a
veces no lo haga), pero tal vez ignore que también debe
actualizar todas las aplicaciones de terceros que utiliza
(Más información: "Nuestra seguridad no solo depende del
antivirus", http://www.vsantivirus.com/21-05-07.htm)
* Si tengo un servidor web ¿me puede infectar MPack?
No es MPack el que puede infectar su servidor. Si MPack puede
instalarse en el mismo, o modificar sus páginas, es porque su
servidor tiene potenciales agujeros de seguridad que usted
ignora. Mantener al día el software que utiliza en su
servidor web, es la mejor manera de protegerse de amenazas
como MPack.
MPack no es la enfermedad, es el síntoma que le indica que su
sistema tiene grandes vulnerabilidades. Hasta que no las
corrija, aún cuando limpie los archivos modificados por
MPack, estos volverán a ser fácilmente modificados.
Esa es la única razón de la gran cantidad de sitios web comprometidos de los que la prensa ha sacado grandes titulares en los últimos días. El problema principal no es
MPack, el gran problema es que una inmensa cantidad de servidores no cuidan su seguridad manteniendo su software actualizado, y no cambia regularmente sus contraseñas, las que además deben ser siempre fuertes (es decir de muchos caracteres, letras y números, mayúsculas y minúsculas, etc.).
* Más información:
MPack, el gran generador de "hypes"
http://www.vsantivirus.com/rab-MPack-hypes.htm
Malware empaquetado y a la venta
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=821
Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223
Marta Torné y el ataque basado en webs
http://blog.hispasec.com/laboratorio/224
¿Cómo comprometer más de 10.000 sitios web?
http://blog.hispasec.com/laboratorio/225
Resaca del ataque masivo a través de webs comprometidas
http://www.hispasec.com/unaaldia/3162
MPack uncovered!
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-
uncovered_2100_.aspx
MPack, Packed Full of Badness
http://www.symantec.com/enterprise/security_response/weblog/2007/05/MPack_packed_full
_of_badness.html
Malicious Website / Malicious Code: Large scale European Web Attack
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782
MPack Analysis
http://isc.sans.org/diary.html?n&storyid=3015
Fuente: http://www.vsantivirus.com/faq-mpack.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!