lunes, 11 de enero de 2010

¿Solo Empanadas?



¿O sera que nos "ofrecen" algo más?

Ayer Domingo, como es tradición, fui a almorzar a la casa de mis hermanas. Digamos que no me esperaban con un festín, sino con una hojita de Delivery de empanadas en sus manos. Luego de un rato notaron que varias de las casas de empanadas permanecen cerradas los Domingos al mediodia. Entre las casas que llamamos se encontraba "Solo Empanadas", la cual tampoco atendía, lo que me pareció raro, por lo que decidí entrar a la pagina para ver los horarios de atención.

Para mi sorpresa (luego de googlear el sitio), al entrar a su pagina web me salto una notificación del antivirus avisándome de dicha web poseía un virus (vulgarmente hablando).





(Recomiendo fervientemente a todos los lectores que no accedan ni al sitio mencionado ni a las URL's que aparecen en las capturas, cualquier infección es responsabilidad de ustedes)


Lo llamo virus para que todos los lectores sepan a que me refiero, pero el nombre correcto para cualquier código malicioso es malware. En este caso en particular se trata de un troyano que es ejecutado por un IFrame dentro del sitio web de "Solo Empanadas."

A continuación les dejo una captura del código que fue incrustado dentro del sitio web, el mismo se encuentra ofuscado (modificado para que solo sea interpretado por el navegador y no por el ojo humano):





Lo que este código hace básicamente es abrir otra/s pagina web sin que nosotros lo notemos, ejecutando cualquier código o script que deseen. Con esto, los usuarios maliciosos buscan explotar cualquier vulnerabilidad que posea nuestro sistema operativo para así poder subir y ejecutar de forma remota un malware (algo malo, por si no quedo claro arriba).

Logre desofuscar el código en cuestión y note que el mismo no poseía un solo llamado a una pagina maliciosa sino dos, y que también la URL en cuestión a la que accedía era armada por dicho script previa a su carga. Y para qué se preguntaran...Bueno, esta URL contiene información de que navegador estamos utilizando, que sistema operativo poseemos, y desde que sitio accedimos a esa pagina maliciosa. Con dichos parámetros la URL le "cuenta" toda esta información a su página y así esta decide que exploit o vulnerabilidad le conviene aprovechar para lograr la taza mas alta de infección.

A continuación les dejo una captura del código desofuscado:





Como se imaginaran esto es muy peligroso ya que cualquier usuario que este con antojo de empanadas y caiga en la pagina de esta popular casa de delivery, se puede ir con algo más que con una docena de empanadas de carne cortada a cuchillo y una cerveza...y creanme que le va a caer más pesado.

Lo que es relevante rescatar de este post es lo importante de poseer un Antivirus con detección proactiva que corra en memoria, como es ESET NOD32 Antivirus, el cual instalé en la portátil de mi hermaníta que detecto el script antes mencionado.


Ximo

4 comentarios:

  1. No lo puedo creer, no dejas de laburar ni cuando hacés un pedido al delivery....lo tuyo es grave hermanito....te recomiendo unas semanitas en la montaña o en un spa lejos de la conexión a internet.... besos!!!!

    La Negra.

    ResponderEliminar
  2. Sabía que algo tramaban esos señores vestidos de empanada feliz que andan por las sendas peatonales cocinandose al sol y danzando como locas!Fuera de broma, muy buen descubrimiento (aqui en Argentina es muy conocida esta casa de comidas,por si no lo sabe algun desprevenido)y excelente consejo para los usuarios.Siga protegiendonos Bond de la informática!

    ResponderEliminar
  3. jejeje, empanadas gratis para todos!!! Muy bueno pero... coincido, ¡¡dejá de laburar los domingos!!
    Abrazo

    ResponderEliminar
  4. Jaja, no es laburo, es un hobby que disfruto! :-]

    ResponderEliminar