¿Steve Jobs está realmente muerto?
En las últimas horas hemos estado recibiendo una avalancha de correos electrónicos por spam, haciendo referencia a si la muerte de Steve Jobs es real.
Los correos falsos son fácilmente identificables porque todos ellos sólo tienen, en el cuerpo del mensaje, un enlace que varía continuamente:
Si se ingresa al sitio web mencionado (NO lo haga), se producen una serie de redirecciones que siempre terminan en sitios alojados en dominios http://[NOMBRE_ALEATORIO].ce.ms y que contienen páginas web con scripts ofuscados, como los siguientes:
En este script puede verse que inicialmente se hacer referencia a un Applet de Java llamado rabbits.jar.
Además, contiene un Javascript ofuscado, que al ser desofuscado, puede verse que en realidad se trata de una página web que también explota vulnerabilidades en los componentes XMLHTTP, XMLDOM, Shockwave Flash Player, Shell.UIHelper, Scripting.Dictionary, Wmplayer, Adobe Reader y Java, instalados en el sistema. Cualquiera de los exploits que resulte "exitoso", descargará archivos dañinos desde la dirección IP 95.163.[ELIMINADO].209. Este script además descarga los archivos getJavaInfo.jar, w.php, new.avi, /content/1dfp.php, content/2dfp.php, content/score.swf.
Este tipo de scripts es desarrollado a través de exploits-packs que son comercializados en el mercado negro y este es el motivo por el cual deben actualizarse todos las aplicaciones utilizadas en el sistema (sin excepción) ya que dejar una sin actualizar significa dejar la puerta abierta para cualquiera de los exploits mencionados.
Cristian de la Redacción de Segu-Info
Los correos falsos son fácilmente identificables porque todos ellos sólo tienen, en el cuerpo del mensaje, un enlace que varía continuamente:
En este script puede verse que inicialmente se hacer referencia a un Applet de Java llamado rabbits.jar.
Además, contiene un Javascript ofuscado, que al ser desofuscado, puede verse que en realidad se trata de una página web que también explota vulnerabilidades en los componentes XMLHTTP, XMLDOM, Shockwave Flash Player, Shell.UIHelper, Scripting.Dictionary, Wmplayer, Adobe Reader y Java, instalados en el sistema. Cualquiera de los exploits que resulte "exitoso", descargará archivos dañinos desde la dirección IP 95.163.[ELIMINADO].209. Este script además descarga los archivos getJavaInfo.jar, w.php, new.avi, /content/1dfp.php, content/2dfp.php, content/score.swf.
Este tipo de scripts es desarrollado a través de exploits-packs que son comercializados en el mercado negro y este es el motivo por el cual deben actualizarse todos las aplicaciones utilizadas en el sistema (sin excepción) ya que dejar una sin actualizar significa dejar la puerta abierta para cualquiera de los exploits mencionados.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!