El sitio de New York Times es utilizado para descargar a malware
Un "amigo brasilero" me ha enviado una postal y cual fue mi sorpresa al comprobar que la dirección web en la cual debía ver la supuesta postal, era la del diario New York Times:
Al analizar la URL (cortada en la imagen) no visualicé nada extraño pero por supuesto no podía ser verdad que una postal estuviera alojada en el sitio de uno de los diarios más importantes del mundo.
Al ingresar al sitio se puede comprobar que en realidad se descarga un archivo ejecutable llamado page879aspx.com, un troyano del tipo downloader, que descarga 4 nuevos archivos ejecutables desde 70.38.XXX.170. Estos archivos son variantes de Hupingon un troyano que abre puertas traseras en el equipo del usuario.
Analizando con más detalle la URL brindada pude comprobar que en realidad uno de los parámetros pasados en el GET corresponde a una redirección, mediante la cual el sitio NYTimes.com envía al usuario al sitio que se desee.
La sección ocultada en la imagen corresponde al parámetro y a la dirección desde donde se descarga el troyano.
Como puede verse, se está aprovechando este error en el manejo del GET para redirigir al usuario a la descarga de malware y podría utilizarse también para casos de Phishing o cualquier otro ataque más elaborado.
El error ya fue reportado al diario y cuando sea corregido daré más información.
¡Gracias M. por reportar la postal!
Redacción de Segu-Info
Al analizar la URL (cortada en la imagen) no visualicé nada extraño pero por supuesto no podía ser verdad que una postal estuviera alojada en el sitio de uno de los diarios más importantes del mundo.Al ingresar al sitio se puede comprobar que en realidad se descarga un archivo ejecutable llamado page879aspx.com, un troyano del tipo downloader, que descarga 4 nuevos archivos ejecutables desde 70.38.XXX.170. Estos archivos son variantes de Hupingon un troyano que abre puertas traseras en el equipo del usuario.
Analizando con más detalle la URL brindada pude comprobar que en realidad uno de los parámetros pasados en el GET corresponde a una redirección, mediante la cual el sitio NYTimes.com envía al usuario al sitio que se desee.
La sección ocultada en la imagen corresponde al parámetro y a la dirección desde donde se descarga el troyano.Como puede verse, se está aprovechando este error en el manejo del GET para redirigir al usuario a la descarga de malware y podría utilizarse también para casos de Phishing o cualquier otro ataque más elaborado.
El error ya fue reportado al diario y cuando sea corregido daré más información.
¡Gracias M. por reportar la postal!
Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!