17 jun 2012

Spam desde contactos conocidos, a través de Wordpress vulnerados

Desde ayer, varios usuarios nos han denunciado la recepción de correos electrónicos sin asunto, en el cual han sido copiadas varias personas y que como único cuerpo contienen un enlace a sitios de Wordpress.
Estos enlaces varían continuamente pero tiene como constante que siempre llegan desde un contacto conocido [1], y los enlace son a sitios de Wordpress vulnerados y generalmente en apuntan a un directorio "/wp-content/themes/" en donde los delincuentes han alojado su contenido dañino. Si se realiza una sencilla búsqueda en Google, se puede constatar que existen miles de sitios vulnerados.

Si se ingresa al sitio (NO lo haga), se puede ver que el mismo redirecciona a otro sitio que siempre tiene un formato similar al siguiente:
http://www.foxnews.com.happynews.americastopdiet.ultradrops.msbbc-[ELIMINADO].com

A continuación se puede ver la redirección mencionada así como el código fuente en la etiqueta META de la página subida al Wordpress vulnerado:
Cuando el usuario llega al sitio vulnerado, verá una página como la siguiente, siempre con el texto:
"You are here because one of your friends have invited you.
Page loading, please wait...."

Enseguida el usuario será redireccionado a un sitio con ofertas de productos farmacéuticos. Los sitios, han sido denunciados desde hace varios días por ser sospechosos de generar tráfico del tipo spam y al parecer ambos está alojados en un servidor de Ucrania, IP 176.107.129.10. Algunos de estos sitios son:
  • ww.health-news24.com
  • Msnbc-story.com
  • News-stories-html.com
  • msbbc-story.com
  • html-article.com
  • new.msnbc-story.com
  • ultradrops.msbbc-story.com
  • Diversos sitios .RU
Si el usuario navega por este sitio que simula ser de la cadena Fox News, aparecerá una página con ofertas de productos farmacéuticos, similar a la siguiente:
Con respecto al origen del correo, como mencioné siempre pertenecen a una persona conocida a quien se le ha robado su cuenta de correo, la cual puede ser de Yahoo", Hotmail (Live) o AOL.

Recomendaciones:

  • Si eres administrador de un sitio web actualiza el mismo así como la versión del servidor web.
  • Si utilizas Wordpress en tu sitio, actualiza tu versión a la última disponible 3.4 y actualiza todos los plugins.
  • Si recibes un correo sin asunto en donde hay varias personas copiadas y simplemente hay un enlace, elimina el correo.
Cristian de la Redacción de Segu-Info

[1] Actualización:  Como comentabamos hace unos días los dueños de las cuentas de correo desde donde provienen algunos de estos mensajes, nos han confirmado que utilizaban en su correo la misma contraseña que en su perfil de Linkedin.

Recomendamos adicionalmente:
  • Cambie la contraseña de su correo web (Yahoo, Hotmail u otros) por una nueva y distinta a las de otros servicios web que utilice.
  • Si desde su correo fueron enviados correos como los descriptos, considere que los datos de sus correos han sido comprometidos. Tome las medidas necesarias. Verifique su bandeja de enviados.
Raúl de la Redacción de Segu-Info

Suscríbete a nuestro Boletín

2 comentarios:

  1. Hola Cristian, soy adm web y me esta pasando exactamente lo que comentas en esta noticia, como se puede hacer para acomodar el sitio?

    ResponderBorrar
  2. Hola

    Busca en la seccion de seguridad web q hay varios tutos de como asegurar tu servidor y worpress especificamente:
    http://blog.segu-info.com.ar/search/label/seguridad%20web

    Saludos
    Cristian

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!