4 dic 2012

Como se propagó tan rápido el gusano en Tumblr

Aunque Tubmlr ahora está limpiado las páginas afectadas por el gusano de hoy, SophosLabs pudo brevemente explorar como se propagó la infección.

Parece que el gusano se aprovechó de una caracteristica de re-blogueo de Tumblr, la cual implica que cualquiera logueado en Tumblr podría republicar automáticamente los post infeccciosos si visita una de las páginas con ese problema.
Cada post afectado tenía algun tipo de código malicioso incluido:


La cadena Base64 es en realidad JavaScript codificado, oculto en un iFrame que era invisible para el ojo del visitante, que llevaba contenido una URL. Una vez decodificado, la intención del código queda clara.

Este código explica porque algunos usuarios vieron un mensaje en una ventana emergente, aparentemente de Tumblr:

Si uno no está logueado en Tumblr cuando visita la url, simplemente será redirigido a la página de ingreso. Sin embargo, si su computadora estaba logueada en Tumblr, resultara en que el contenido de GNAA será re-blogueado en su propio espacio de Tumblr.

No debiera haber sido posible para alguien publicar en Tumblr semejante código JavaScript malicioso en un post, nuestra presunción es que los atacantes se las arreglaron para eludir las defensas de Tumblr disfrazando su código mediante la codificación BAse64 y luego incluyéndola en un URI.

Traducción: Raúl Batista - Segu-Info
Autor: Graham Cluley
Fuente: Blog naked security - Sophos Labs

Suscríbete a nuestro Boletín

1 comentario:

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!