Propagación de malware a través de importantes foros

Tiempo atrás informamos sobre una gran cantidad de sitios que habían sido modificados por para incluir scripts dañinos.

Hoy, nuevamente hemos llegado a sitios similares en donde los atacantes utilizan una metodología similar, pero en esta oportunidad, los sitios atacados corresponden a sitios educativos y foros entre los que se encuentran algunos muy importantes como el de Unicef, quien ya ha sido informado sobre este tema.

La metodología utilizada en este caso corresponde a agregar comentarios en cualquier tipo de foros o en cuadros de búsqueda de sitios, que principalmente corresponden a universidades con dominios .edu.

Los comentarios insertados corresponden a scripts dañinos que apuntan a URLs que alojan sitios pornográficos, venta de productos farmacéuticos, como viagra y cialis, y malware con diferentes objetivos.

A continuación se hace el seguimiento de un par de casos encontrados. En el primero de ellos se accede a un foro y se puede ver un mensaje del siguiente tipo:



Este script podría ejecutarse automáticamente al cargar la página, pero si no fuera así, el usuario aún puede realizar clic en cualquiera de lo enlaces visualizados ingresado a unos de los sitios mencionados.

En el caso de sitios de publicidad de productos farmacéuticos, el usuario verá algo como lo siguiente:



Al cargar algunas de estas página se puede descargar un troyano alojados en distintos sitios webs. En este caso el mismo es detectado por la Heurística Avanzada de ESET NOD32.



En este momento se pueden encontrar en Google alrededor de 60.000 sitios conteniendo los scripts mencionados. En una segunda entrega, veremos como esta metodología es utilizada en otros foros y en las páginas de descarga de distintas universidades.


FUENTE

Propagación de malware a través de importantes foros (y II)

Continuando nuestra entrega anterior sobre propagación de malware a través de importantes foros, ahora mostraremos como sitios educativos son utilizados para llevar al usuario a sitios pornográficos o conteniendo malware.

En este caso y mediante la metodología ya explicada, se inserta splog en diversos foros y mediante ellos se redirige al usuario a páginas de búsqueda de populares sitios educativos:



Como puede verse se injecta un iframe y con ellos se redirige automáticamente al usuario a los sitios web pornográficos o con malware ya descriptos anteriormente.

Esta metodología también fue la utilizada para redirigir usuarios a un perfil fraudulento en el foro de UNICEF, como se vé a continuación:



En este caso el usuario vería la siguiente publicidad. Esta situación ya ha sido comunicada a los administradores del sitio, quienes han respondido y eliminado el usuario:



Otra de las opciones es dirigir al usuario a sitios pornográficos que ofrecen la descarga de codecs conteniendo el ya clásico TrojanDownloaderZlob.

En este oportunidad los delincuentes han diversificado las formas de llegar a sus creaciones, con el objetivo de vender productos o infectar al usuario. Una vez puede verse la imaginación detrás del crimen, sin importar los medios utilizados y con los objetivos económicos bien definidos.


FUENTE

Respuesta de UNICEF a ESET

Luego de comunicarnos con UNICEF, han eliminado al usuario que ofertaba productos farmacéuticos y nos han respondido muy rápidamente sobre el asunto:

Me gustaría extenderle mis saludos. Soy la Coordinadora de la Juventud Opina. Hemos quitado este spam de nuestro sitio. Le agradecemos por su mensaje y su deseo de apoyar a la Juventud Opina.

Gracias,

María Cristina XXXX
Voices of Youth Coordinator
Adolescent Development and Participation Unit Programme Division UNICEF New York Tel. (212) 326-XXXX
E-mail: cXXX[arroba]unicef.org
Web: www.unicef.org/voy
________________________

For every child
Health, Education, Equality, Protection
ADVANCE HUMANITY

Esto prueba que existiendo responsabilidad de todas las organizaciones públicas y privadas esta basura y estos delincuentes pueden ser combatidos.


FUENTE