viernes, 15 de enero de 2010

De dulce no tiene nada (Ledesma infectada)



Y si, otra vez sopa... Esta vez le toco a la pagina de Ledesma, la empresa más conocida a nivel nacional de producción de azúcar al igual que alcohol, molienda húmeda, papel, frutas, jugos, carne y granos.





(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)


Como les mostré la vez pasada en el post sobre Solo Empanadas existe una metodología de infección que consiste en agregar Iframes en el home o pagina principal de sitios comerciales. Estas referencias a sitios maliciosos suelen estar ofuscadas para intentar evitar la detección de soluciones Antivirus y de webmasters.

Hoy ingresé al sitio de esta empresa de renombre y antes de que el sitio pudiera terminar de cargar me salto una alerta de mi Antivirus, ESET NOD32.





Enseguida abrí mi máquina virtual de pruebas y me puse a mirar el código fuente. No fue sorpresa encontrarme con el siguiente script ofuscado:





Lo particular de este script es que posee una ofuscación bastante fuerte por decirlo de alguna forma...algo que no estoy acostumbrado a ver. Pero esto no fue un impedimento al momento de desofuscarlo ya que cualquier navegador es capaz de interpretarlo, solo se necesita la ayuda de algún debugger como es Firebug y una máquina virtual donde poder analizar el sitio sin preocuparse por infectar nuestro equipo. A continuación el código desofuscado:


 


Como pueden ver se trata efectivamente de un Iframe que nos lleva a un sitio de origen Ruso. En dicho sitio se ejecuta un segundo script ofuscado:




Este script es el encargado de intentar descargar un malware en nuestro equipo para luego ejecutarlo.

Nuevamente les quiero remarcar lo importante de poseer un Antivirus con detección proactiva como recomendación a nivel usuario. A nivel administrador web les recomiendo utilizar contraseñas fuertes para sus servidores FTP o SSH y verificar que su sitio no posee vulnerabilidades analizándolo con herramientas como son Nikto, Acunetix o W3af.

Estén atentos al próximo post (miren la cuenta regresiva en la barra de la derecha)
y recuerden que un blog se alimenta de sus comentarios, ya sean quejas, recomendaciones, invitaciones a comer o incluso hasta felicitaciones. :P

Actualización (19/01/2010): Luego de cruzar un par de correos, hoy han solucionado definitivamente el problema. :)


Ximo

lunes, 11 de enero de 2010

¿Solo Empanadas?



¿O sera que nos "ofrecen" algo más?

Ayer Domingo, como es tradición, fui a almorzar a la casa de mis hermanas. Digamos que no me esperaban con un festín, sino con una hojita de Delivery de empanadas en sus manos. Luego de un rato notaron que varias de las casas de empanadas permanecen cerradas los Domingos al mediodia. Entre las casas que llamamos se encontraba "Solo Empanadas", la cual tampoco atendía, lo que me pareció raro, por lo que decidí entrar a la pagina para ver los horarios de atención.

Para mi sorpresa (luego de googlear el sitio), al entrar a su pagina web me salto una notificación del antivirus avisándome de dicha web poseía un virus (vulgarmente hablando).





(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)


Lo llamo virus para que todos los lectores sepan a que me refiero, pero el nombre correcto para cualquier código malicioso es malware. En este caso en particular se trata de un troyano que es ejecutado por un IFrame dentro del sitio web de "Solo Empanadas."

A continuación les dejo una captura del código que fue incrustado dentro del sitio web, el mismo se encuentra ofuscado (modificado para que solo sea interpretado por el navegador y no por el ojo humano):





Lo que este código hace básicamente es abrir otra/s pagina web sin que nosotros lo notemos, ejecutando cualquier código o script que deseen. Con esto, los usuarios maliciosos buscan explotar cualquier vulnerabilidad que posea nuestro sistema operativo para así poder subir y ejecutar de forma remota un malware (algo malo, por si no quedo claro arriba).

Logre desofuscar el código en cuestión y note que el mismo no poseía un solo llamado a una pagina maliciosa sino dos, y que también la URL en cuestión a la que accedía era armada por dicho script previa a su carga. Y para qué se preguntaran...Bueno, esta URL contiene información de que navegador estamos utilizando, que sistema operativo poseemos, y desde que sitio accedimos a esa pagina maliciosa. Con dichos parámetros la URL le "cuenta" toda esta información a su página y así esta decide que exploit o vulnerabilidad le conviene aprovechar para lograr la taza mas alta de infección.

A continuación les dejo una captura del código desofuscado:





Como se imaginaran esto es muy peligroso ya que cualquier usuario que este con antojo de empanadas y caiga en la pagina de esta popular casa de delivery, se puede ir con algo más que con una docena de empanadas de carne cortada a cuchillo y una cerveza...y creanme que le va a caer más pesado.

Lo que es relevante rescatar de este post es lo importante de poseer un Antivirus con detección proactiva que corra en memoria, como es ESET NOD32 Antivirus, el cual instalé en la portátil de mi hermaníta que detecto el script antes mencionado.


Ximo

jueves, 7 de enero de 2010

Repost: "El crimeware durante el 2009"




"El crimeware durante el 2009" plasma en un solo documento todo lo que se canalizó a través de este blog durante el año en cuestión en materia de crimeware y amenazas asociadas.

Cuenta con un total de 262 páginas y se encuentra dividido por las temáticas más relevantes que describen las actividades delictivas que fueron motivo de noticias en este blog. Posee dos índices que permiten encontrar las noticias de forma sencilla (índice de contenido), y otro sobre las imágenes (índice de imágenes).

A continuación dejo alguna de las temáticas que encontraran en el documento en cuestión:

  • Panorama actual de negocio ocasionado por crimeware
  • Framework Exploit Pack para botnets de propósito general
  • Framework Exploit Pack para botnets de propósito particular
  • Servicios asociados al crimeware
  • Inteligencia en la lucha contra el crimeware
  • Campañas de propagación e infección
  • Otros Exploits Pack que se investigaron

Información
Malware Intelligence
Compendio anual de información. El crimeware durante el 2009
262 páginas
Idioma español


Jorge Mieres

--------------------

Este post fue publicado en el blog de mi amigo y colega Jorge Mieres. Recomiendo la lectura y descarga de este gran recurso que armo juntando e indexando todas sus publicaciones del 2009. El link al post original aquí.


Ximo