19 ene 2009

Club de importante diario propaga malware (análisis y solución)

Luego de ponernos en contacto con ellos, menos de 24 hs después de que informáramos sobre el problema del Club de importante diario que propagaba malware, tanto el diario como el hosting tomaron las medidas necesarias para solucionar el inconveniente.

Lo sucedido y la forma en que los usuarios podían infectarse es la siguiente.

1. El usuario ingresa al sitio de Club La Nación y al intentar realizar una "acción exclusiva" que requiere usuario y contraseña, se redirigía al usuario a un nuevo servidor (nw[ELIMINADO].net, ajeno a La Nación) que era el informado por Google como dañino.
Es importante destacar que otros navegadores no informan del problema y que actualmente esta redirección ya no existe en la página del Club La Nación.

2. Si se verifica el informe de Google, puede verse que efectivamente el mismo contenía scripts dañinos (esto se comprueba a continuación):
3. Posteriormente, si utilizaba otro navegador o se ignoraba el mensaje de Firefox, se ingresaba al servidor nw[ELIMINADO].net desde donde se descargaba un malware al equipo del usuario a través de los siguientes código JavaScript ofuscados. El primero de ellos es el siguiente:
Al desofuscar este script, se generaba otro con el siguiente código:
Y este, a su vez, generaba el siguiente:
Que a su vez se traduce en una apertura de una página web en Letonia dentro de un iframe invisible.
Este sitio web es un conocido hosting internacional de malware en donde se alojan miles de variantes de distintos troyanos y gusanos que son propagados por este medio (técnica conocida como drive-by-download):
Esta página web verifica desde donde proviene el usuario y si lo hace desde las páginas afectadas, descarga un troyano desde la IP 94.[ELIMINADO].2.157. Esta verificación se realiza para evitar a usuarios o investigadores que ingresen directamente al sitio a verificar el código.

4. En este proceso de drive-by-download, el usuario no nota nada extraño y luego de la infección puede pensar que la misma provenía de la página inicial (La Nación), cuando en realidad dentro de los Javascript involucrados se lo redirige a distintos servidores sin su consentimiento ni conocimiento.

En este momento el problema ha sido solucionado por La Nación y por el proveedor de hosting y los usuarios ya no tiene porqué preocuparse.

Actualmente este tipo de acciones son muy populares ya que ha través del ingreso y la manipulación de un servidor ajeno, los delincuentes puede infectar a miles de usuarios casi sin esfuerzo. Por ejemplo en este caso, la visita a un conocido sitio muy conocido podía terminar con la infección del sistema del usuario.

Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Este comentario ha sido eliminado por el autor.

    ResponderBorrar
  2. ¡Excelente análisis!

    Creo que tratándose del sitio del Club [del diario] La Nación, el tipo de usuario que lo visita es particular (de mejor capacidad económica), por eso: ¿no podría verse como un ataque dirigido? Creo que si.

    Plantándole algún malware bancario o espía se obtendrían datos de un tipo de usuario con más recursos que el promedio.

    En esta época creo que corresponde ver estas cosas así. Pues los cibercriminales que hicieron esto van detrás del dinero y de información valiosa que pueden obtener.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!