Vulnerabilidad en Delicious permite propagar malware (actualizado)
En las últimas en Segu-Info horas hemos recibido varias denuncias que vinculan al conocido sitio Delicious a la propagación de malware:
Se trata de un correo que es propagado por spam:
Actualización 1: el malware descargado hace referencia a los siguientes sitios web:
Finalmente, los bancos argentinos que son afectados por el troyano son Macro, Supervielle, Banco de Tucumán, Standar Bank y Credicoop.
Actualización 2: todos los correos falsos provienen de direcciones de correos verdaderas que aparentemente han sido vulnerados robando el usuario y contraseña a sus verdaderos dueños. De esta manera los delincuentes tienen acceso a un sinfin de oportunidades para seguir infectando personas.
A continuación una lista de empresas argentinas que hasta el momento hemos podido constatar que se han visto afectadas por esta modalidad:
Actualización 3: revisando las cabeceras de uno de los tantos correos denunciados se puede ver la siguiente información:
Pero, ¿qué tienen en común los dominios Atenta y Facundonet? Inicialmente y al parecer, los dominios están registrados por personas distintas pero tiene a Datamarket como hosting, según se puede ver en Nic.ar (clic para agrandar):
Pero, los enlaces de Webmaster y Aviso Legal en Facundonet apuntan al sito del Ministerio de Economía:
Este sitio aloja "El Foro Permanente de Direcciones de Presupuesto y Finanzas de la República Argentina" o al menos una versión de dicho sitio ya que una simple búsqueda en Google arroja varios documentos PDFs relacionados a dicho foro, pero todos ellos alojados en el dominio epresup.mecon.gov.ar
Por otro lado Atenta es una empresa privada de servicios eventuales, de búsqueda de personal.
Entonces, ¿qué hace un enlace del Ministerio de Economía en sitios de particulares y de empresas privadas? ¿Algunos de esos sitios está relacionado con el organismo? ¿El Webmaster de los sitios trabaja en el Ministerio? ¿Qué tiene que ver el Webmaster con los correos enviados? ¿Se relaciona esta persona con la propagación del malware o los servidores fueron víctimas de ataques al igual que las otras empresas?
Muchas preguntas para un sólo correo con malware. Seguiremos investigando...
Actualización 16/11: luego de ponernos en contacto con el Ministerio de Economía, nos explicaron que la razón de la existencia de esos sitios es que los usaron transitoriamente de hosting al momento del testing y las pruebas del mismo pero nunca se eliminaron los contenidos, y tampoco dieron de baja el registro en NIC.
El sitio real activo es http://epresup.mecon.gov.ar/ foro_presupuesto/.
La explicación pone en blanco sobre negro los procesos deficientes e inseguros que se siguen para desarrollar los sitios gubernamentales.
¡Gracias a Ernesto, Raúl, y Adolfo por los datos proporcionados!
Cristian de la Redacción de Segu-Info
Se trata de un correo que es propagado por spam:
Le pedimos que revise los siguientes datos: NOMBRE y EMPRESA, porque algo no esta bien y no podemos cargarlo en nuestro sistema para poder liberar el pago.Como es obvio ambos enlaces conducen a la descarga de malware pero lo curioso es que efectivamente uno de los enlaces apunta a una redirección abierta desde Delicious, lo cual podría hacer que sea más confiable para el usuario y también se evite la detección del correo por parte de los filtros antispam:
Le rogamos que verifique sus datos en la siguiente planilla para que la facturacion sea correcta.
Tiene disponible nuestro telefono para cualquier tipo de consulta que desee realizar 0800-606-0106
Atentamente, Delfina Taborda - Departamento de compras MSM Alimentos
- http://www.delicious.com/[ELIMINADO]=http://mountain[ELIMINADO].org.np/class/Scaneos_para_imprimir_PDF.zip
- http://www.twistys[ELIMINADO].com/[ELIMINADO].php?url=http://med-health[ELIMINADO].com/bluesky/Scaneos_para_imprimir_PDF.zip
- http://seekslut.f[ELIMINADO].com/set_lang.php?lang=en&[ELIMINADO]=http://maluszek-[ELIMINADO].pl/fdre/Scaneos_para_imprimir_PDF.zip
- http://mountain[ELIMINADO].org.np/class/__DxS__UPLOAD__t92__scaneos_para_imprimir_PDF__DxS_COPY_WQ1.zip
- http://log.[ELIMIMADO].com/log?srvc=ndbvj&[ELIMINADO]=http://heidi.wi-kol[ELIMINADO].dk/musik/Scaneos_para_imprimir_PDF.zip
Actualización 1: el malware descargado hace referencia a los siguientes sitios web:
- http://www2.side-[ELIMINADO].com/public/templates/3des.php
- http://www.saltours-[ELIMINADO].com/plan-your-holidays/ppp.php
Finalmente, los bancos argentinos que son afectados por el troyano son Macro, Supervielle, Banco de Tucumán, Standar Bank y Credicoop.
Actualización 2: todos los correos falsos provienen de direcciones de correos verdaderas que aparentemente han sido vulnerados robando el usuario y contraseña a sus verdaderos dueños. De esta manera los delincuentes tienen acceso a un sinfin de oportunidades para seguir infectando personas.
A continuación una lista de empresas argentinas que hasta el momento hemos podido constatar que se han visto afectadas por esta modalidad:
- @bravoenergy.com
- @aparthotelcavis.com.ar
- @lojack.com.ar
- @bombicino.com.ar
- @ecosan.com.ar
- @uboldibiasoli.com.ar
- @lascercanias.com.ar
- @grupodepetris.com.ar
- @atenta.com.ar
- @iluminaciontheus.com
- @villanueva.com.ar
- @roias.com.ar
- @eym-electromedicina.com.ar
- @electropuerto.com.ar
- @seeknetworks.com.ar
- @razzante.com
- @milliwatt.com.ar
- @industriasfmr.com.ar
Actualización 3: revisando las cabeceras de uno de los tantos correos denunciados se puede ver la siguiente información:
Received: from mail2.XXXX.com.ar (XXX.XXX.XXX.XXX) by BASIS.XXXX.com.ar (192.168.XXX.XXX) with Microsoft SMTP Server id 14.1.379.0; Wed, 14 Nov 2012 13:49:49 -0300
X-AuditID: ac100XXX-b7f5b6dXXX-ee-50a3cbadXXX
Received: from mail.facundonet.com.ar (mail.facundonet.com.ar [200.32.XXX.XXX]) by mail2.XXX.com.ar with SMTP id 13.02.16901.DABC3A05; Wed, 14 Nov 2012 13:49:49 -0300 (ART)
Received: from ([127.0.0.1]) with MailEnable ESMTP; Wed, 14 Nov 2012 11:07:08-0300
To: {[email protected]]
From: [[email protected]]
Pero, ¿qué tienen en común los dominios Atenta y Facundonet? Inicialmente y al parecer, los dominios están registrados por personas distintas pero tiene a Datamarket como hosting, según se puede ver en Nic.ar (clic para agrandar):
Pero, los enlaces de Webmaster y Aviso Legal en Facundonet apuntan al sito del Ministerio de Economía:
Este sitio aloja "El Foro Permanente de Direcciones de Presupuesto y Finanzas de la República Argentina" o al menos una versión de dicho sitio ya que una simple búsqueda en Google arroja varios documentos PDFs relacionados a dicho foro, pero todos ellos alojados en el dominio epresup.mecon.gov.ar
Por otro lado Atenta es una empresa privada de servicios eventuales, de búsqueda de personal.
Entonces, ¿qué hace un enlace del Ministerio de Economía en sitios de particulares y de empresas privadas? ¿Algunos de esos sitios está relacionado con el organismo? ¿El Webmaster de los sitios trabaja en el Ministerio? ¿Qué tiene que ver el Webmaster con los correos enviados? ¿Se relaciona esta persona con la propagación del malware o los servidores fueron víctimas de ataques al igual que las otras empresas?
Muchas preguntas para un sólo correo con malware. Seguiremos investigando...
Actualización 16/11: luego de ponernos en contacto con el Ministerio de Economía, nos explicaron que la razón de la existencia de esos sitios es que los usaron transitoriamente de hosting al momento del testing y las pruebas del mismo pero nunca se eliminaron los contenidos, y tampoco dieron de baja el registro en NIC.
El sitio real activo es http://epresup.mecon.gov.ar/
La explicación pone en blanco sobre negro los procesos deficientes e inseguros que se siguen para desarrollar los sitios gubernamentales.
¡Gracias a Ernesto, Raúl, y Adolfo por los datos proporcionados!
Cristian de la Redacción de Segu-Info
Ayer tenia problemas para visualizar los datos de mi cuenta en el homebanking de macro, algo de esto tiene que ver? puede mi informacion a ver sido filtrada?
ResponderBorrarAnonimo, el malware fue detectado hoy pero de todos modos contactate con tu banco de forma urgente. Puede no ser nada pero no pierdes nada verificando
ResponderBorrarCristian