viernes, 15 de enero de 2010

De dulce no tiene nada (Ledesma infectada)



Y si, otra vez sopa... Esta vez le toco a la pagina de Ledesma, la empresa más conocida a nivel nacional de producción de azúcar al igual que alcohol, molienda húmeda, papel, frutas, jugos, carne y granos.





(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)


Como les mostré la vez pasada en el post sobre Solo Empanadas existe una metodología de infección que consiste en agregar Iframes en el home o pagina principal de sitios comerciales. Estas referencias a sitios maliciosos suelen estar ofuscadas para intentar evitar la detección de soluciones Antivirus y de webmasters.

Hoy ingresé al sitio de esta empresa de renombre y antes de que el sitio pudiera terminar de cargar me salto una alerta de mi Antivirus, ESET NOD32.





Enseguida abrí mi máquina virtual de pruebas y me puse a mirar el código fuente. No fue sorpresa encontrarme con el siguiente script ofuscado:





Lo particular de este script es que posee una ofuscación bastante fuerte por decirlo de alguna forma...algo que no estoy acostumbrado a ver. Pero esto no fue un impedimento al momento de desofuscarlo ya que cualquier navegador es capaz de interpretarlo, solo se necesita la ayuda de algún debugger como es Firebug y una máquina virtual donde poder analizar el sitio sin preocuparse por infectar nuestro equipo. A continuación el código desofuscado:


 


Como pueden ver se trata efectivamente de un Iframe que nos lleva a un sitio de origen Ruso. En dicho sitio se ejecuta un segundo script ofuscado:




Este script es el encargado de intentar descargar un malware en nuestro equipo para luego ejecutarlo.

Nuevamente les quiero remarcar lo importante de poseer un Antivirus con detección proactiva como recomendación a nivel usuario. A nivel administrador web les recomiendo utilizar contraseñas fuertes para sus servidores FTP o SSH y verificar que su sitio no posee vulnerabilidades analizándolo con herramientas como son Nikto, Acunetix o W3af.

Estén atentos al próximo post (miren la cuenta regresiva en la barra de la derecha)
y recuerden que un blog se alimenta de sus comentarios, ya sean quejas, recomendaciones, invitaciones a comer o incluso hasta felicitaciones. :P

Actualización (19/01/2010): Luego de cruzar un par de correos, hoy han solucionado definitivamente el problema. :)


Ximo

3 comentarios:

  1. Hi!
    I advise you to use malzilla for research.
    (http://malzilla.sourceforge.net/)
    Good luck! ;)

    ResponderEliminar
  2. Thanks for the advice Nico!, I'm going to try it and then post the results I've got.

    ResponderEliminar
  3. Mire Usted las cosas que se descubren.La verdad que le hizo un favorazo a Ledesma advirtiendoles del caso, aunque ellos deberían llevar un control adecuado, verdad? Como siempre maravilloso lo que posteó y muy revelador. Ah,lo olvidaba....le dejo una micro-misión para una mente avispada como usted: www.wingchun.com.ar (me suena a fraude) Abrazo de gol!

    ResponderEliminar