Noticias de Seguridad Informática - Segu-Info

domingo, 17 de junio de 2012

13:01:00

Spam desde contactos conocidos, a través de Wordpress vulnerados

Desde ayer, varios usuarios nos han denunciado la recepción de correos electrónicos sin asunto, en el cual han sido copiadas varias personas y que como único cuerpo contienen un enlace a sitios de Wordpress.
Estos enlaces varían continuamente pero tiene como constante que siempre llegan desde un contacto conocido [1], y los enlace son a sitios de Wordpress vulnerados y generalmente en apuntan a un directorio "/wp-content/themes/" en donde los delincuentes han alojado su contenido dañino. Si se realiza una sencilla búsqueda en Google, se puede constatar que existen miles de sitios vulnerados.

Si se ingresa al sitio (NO lo haga), se puede ver que el mismo redirecciona a otro sitio que siempre tiene un formato similar al siguiente:
http://www.foxnews.com.happynews.americastopdiet.ultradrops.msbbc-[ELIMINADO].com

A continuación se puede ver la redirección mencionada así como el código fuente en la etiqueta META de la página subida al Wordpress vulnerado:
Cuando el usuario llega al sitio vulnerado, verá una página como la siguiente, siempre con el texto:
"You are here because one of your friends have invited you.
Page loading, please wait...."

Enseguida el usuario será redireccionado a un sitio con ofertas de productos farmacéuticos. Los sitios, han sido denunciados desde hace varios días por ser sospechosos de generar tráfico del tipo spam y al parecer ambos está alojados en un servidor de Ucrania, IP 176.107.129.10. Algunos de estos sitios son:
  • ww.health-news24.com
  • Msnbc-story.com
  • News-stories-html.com
  • msbbc-story.com
  • html-article.com
  • new.msnbc-story.com
  • ultradrops.msbbc-story.com
  • Diversos sitios .RU
Si el usuario navega por este sitio que simula ser de la cadena Fox News, aparecerá una página con ofertas de productos farmacéuticos, similar a la siguiente:
Con respecto al origen del correo, como mencioné siempre pertenecen a una persona conocida a quien se le ha robado su cuenta de correo, la cual puede ser de Yahoo", Hotmail (Live) o AOL.

Recomendaciones:

  • Si eres administrador de un sitio web actualiza el mismo así como la versión del servidor web.
  • Si utilizas Wordpress en tu sitio, actualiza tu versión a la última disponible 3.4 y actualiza todos los plugins.
  • Si recibes un correo sin asunto en donde hay varias personas copiadas y simplemente hay un enlace, elimina el correo.
Cristian de la Redacción de Segu-Info

[1] Actualización:  Como comentabamos hace unos días los dueños de las cuentas de correo desde donde provienen algunos de estos mensajes, nos han confirmado que utilizaban en su correo la misma contraseña que en su perfil de Linkedin.

Recomendamos adicionalmente:
  • Cambie la contraseña de su correo web (Yahoo, Hotmail u otros) por una nueva y distinta a las de otros servicios web que utilice.
  • Si desde su correo fueron enviados correos como los descriptos, considere que los datos de sus correos han sido comprometidos. Tome las medidas necesarias. Verifique su bandeja de enviados.
Raúl de la Redacción de Segu-Info

Creative Commons License
Creative Commons Atribución-No Comercial-Compartir Obras Derivadas Igual 2.5


2 comentarios:

Anónimo,  18/6/12 15:10  

Hola Cristian, soy adm web y me esta pasando exactamente lo que comentas en esta noticia, como se puede hacer para acomodar el sitio?

www.segu-info.com.ar 18/6/12 19:44  

Hola

Busca en la seccion de seguridad web q hay varios tutos de como asegurar tu servidor y worpress especificamente:
http://blog.segu-info.com.ar/search/label/seguridad%20web

Saludos
Cristian

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!

Aquí y Ahora

 
 Widget de Google 

Acerca de Segu-Info

Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - MVP que brinda información sobre Seguridad de la Información desde el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons a menos que se indique lo contrario. Cristian Borghello no se hace responsable del contenido o comentarios de terceros.

  ©Template desarrollado por Dicas Blogger y Adaptado por SoloE para Segu-Info - 2009