Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

6

Importante ataque contra más de 11.000 páginas web en toda Europa

Hispasec, ante la importancia del ataque, ha publicado una Alerta especial para avisar a todos los usuarios de una "ofensiva a gran escala contra páginas web europeas. No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias.

Websense ha alertado de que se está usando MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima. ¿Cómo conseguir que las víctimas visiten este servidor y queden infectadas? Lo que se ha observado es que más de 11.000 páginas legítimas (principalmente europeas) han sido atacadas y han alojado en ellas enlaces IFRAME que apuntan al servidor MPACK e infectan así a la víctima. Si ésta es vulnerable (normalmente a vulnerabilidades relativamente antiguas que permiten ejecución de código), se descargará y ejecutará de forma transparente una variante de un troyano bancario de la familia Sinowal (pieza de malware conocida por su sofisticación).

Las páginas afectadas (que se convierten en "cómplices" sin saberlo ni quererlo) son legítimas y con todo tipo de contenidos, desde webs de deportes, hoteles, juegos, medios de comunicación, política, sexo... Habitualmente, los atacantes que consiguen acceso a una web "popular", roban datos y causan un "deface" (cambio de su página índice para que todo el mundo sepa que ha sido atacada). Por el contrario en este caso, han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española. Hispasec se está poniendo en contacto con las principales webs españolas comprometidas para eliminar el código malicioso y prevenir nuevos infectados.

MPACK dispone de un completo "backend" con datos y estadísticas sobre sus "progresos". Hemos tenido acceso a esta zona, donde se recogen estadísticas y datos concretos del "éxito de la operación". El país con más infectados es Italia (porque a su vez, son mayoría los dominios .it que están siendo usados para "infectar"), seguido de España y Estados Unidos.

Las vulnerabilidades que están siendo aprovechadas afectan a Windows, pero no sólo a los usuarios de Internet Explorer, como es habitual. También se valen de fallos en los plugins Windows Media y QuickTime de Firefox y Opera. A pesar del uso minoritario de este último, no han querido dejar escapar ni una sola oportunidad de infección.

Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado (porque no mantiene su sistema actualizado). A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España.

Aunque este ataque a gran escala pueda ser mitigado en los próximos días, no olvidemos que se trata de un caso más entre un número indefinido de ataques similares todavía no detectados que se están llevando a cabo con este mismo kit. Una vez más, advertimos de que realizar una navegación "responsable" no es suficiente, no previene de los incidentes de seguridad, puesto que los atacantes están introduciendo sus códigos maliciosos en todo tipo de páginas webs. Tampoco el uso de uno u otro navegador (como muchos piensan) solventa por completo el problema. Ninguna acción "aislada" lo hace. Sólo la defensa en profundidad (tanto de servidores como de clientes) puede mantenernos razonablemente a salvo
."

La solución más rápida y directa es usar un buen cortafuegos, un virus eficiente y actualizado y descargar rápidamente todas los parches operativos que actualizan el sistema operativo que esté utilizando.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    6

    Ayer mismo, 21 de junio, Hispasec volvía a mencionar en su portada aspectos técnicos sobre el gran ataque sufrido por más

    Ayer mismo, 21 de junio, Hispasec volvía a mencionar en su portada aspectos técnicos sobre el gran ataque sufrido por más de 11.000 páginas web en toda Europa y el efecto "resaca" producido por el mismo.

    Aquí podéis leer el artículo:

    http://www.hispasec.com/unaaldia/3162

    Saludos

  • Cerrado

    BocaDePez BocaDePez
    0

    Hay algun listado de las webs afectadas, o hay algun addon para el firefox para saber si la web que estas visitando esta

    Hay algun listado de las webs afectadas, o hay algun addon para el firefox para saber si la web que estas visitando esta afectada?.

  • Cerrado

    España e Italia los más infectados. ¿Será porque está lleno de piratillas y mucha gente no tiene el windows original? o

    España e Italia los más infectados. ¿Será porque está lleno de piratillas y mucha gente no tiene el windows original? o simplemente la vagancia de no actualizar las cosas?

      • Cerrado

        Pues en este caso sí: Windows Genuine Advantage. Si no tienes…

        Pues en este caso sí: Windows Genuine Advantage. Si no tienes Windows legal no puedes acceder a Windows Update, y claro, no puedes actualizarlo. También es cierto que las actualizaciones críticas siguen funcionando a través de las actualizaciones automáticas, pero eso no es algo que sepa mucha gente.

        Al final estamos en lo de siempre, la mayoría de las "epidemias" se basan en agujeros de seguridad bien conocidos, para los que existe un parche desde hace tiempo. Curiosamente, poca gente se mantiene actualizada, supongo que por desconocimiento.

        Salu2.

        • Cerrado

          Me vas a perdonar, pero a dia de hoy, quien no se salta el…

          Me vas a perdonar, pero a dia de hoy, quien no se salta el WGA es porque no quiere.

          Tanto en actualizaciones online como en paquetes de soft especificos, ha sido ampliamente crackeado (bonito palabro), las versiones originales del sistema y tambien las revisiones.

          Me perdonareis que no entre en detalles sobre este asunto, obviamente. BA no apoya la pirateria, y desde luego yo tampoco.

          Luego si hay que buscar un responsable es sin duda en la mayor medida el usuario. Ya he dicho en multitud de ocasiones que la seguridad no vende, que en este bendito pais nos importa un pimiento de Padron asegurar nuestras maquinas.

          'Total, a mi no me van a hacer nada, que no soy nadie', o 'Bah, eso les pasa a los pringaos, y evidentemente yo soy guay', 'No me molesto, para que? Si no tengo nada importante', 'Paso de antivirus, que me comen recursos'...

          Os suenan de algo estas frases? Pues son excusas veridicas que me han dado a mi personalmente para no pagar cuatro miserables euros de mas. En un antivirus!! Si los hay gratuitos!! ('Boh, si es gratis fijo que es un asco', me dijeron una vez. Claro que no queriamos pagar 30€ por una licencia...) '

          Un antisp... Spiw... wspi... Como se diga, eso que e lo que e????' me dijo otro paisano en otra ocasion. Y les explicas y como el que se lo cuenta a la pared...

          Una empresa con una wifi abierta de par en par, y no es un negocio pequeño precisamente. Te cuelas hasta el server, hay de todo: Clientes, proveedores, cuentas bancarias, correos, pedidos, proyectos... Les avisas convenientemente, por escrito certificado y por telefono. 'Gracias, pero has visto muchas peliculas' me dijeron. Y se rieron. Sisi: SE RIERON.

          Evidentemente, 'algo' paso en ese server un fin de semana (ejem...) y... Creeis que hicieron algo?? NO! Sigue abierto de par en par!!

          No cabe duda que esto es un cumulo de factores: SOs, tecnologias, implementacion de redes, etc... Pero el mayor problema es sin lugar a dudas la falta de concienciacion y la educacion digital nula del usuario.

          Perdon por el toston.

          Un saludo

          • Cerrado

            BocaDePez BocaDePez
            0
            Ya sabes que hacer. Envia un mail quejandote para que hagan…

            Ya sabes que hacer. Envia un mail quejandote para que hagan una auditoria. Verás como se rien luego cuando les caiga la multa.

        • Cerrado

          Cito: "Si no tienes Windows legal no puedes acceder a Windows…

          Cito: "Si no tienes Windows legal no puedes acceder a Windows Update"
          Pues va a ser que no compañero, con el apaño preciso se actualiza exactamente igual que uno legal, comprobado.

      • Cerrado

        Ya te respondo yo, nada que ver. Además por lo poco que he…

        Ya te respondo yo, nada que ver.

        Además por lo poco que he leído, entiendo que daría igual tu SO ya que los datos robados son de la propia pagina, donde tu los subes, para comprar algo o simplemente para ver tu estado bancario. Pues eso que seguir pagando a contra-reembolso, y para la cuenta me voy al banquero que es colega.
        Yo creo que estas paginas que usan datos bancarios deberian pulir este tema mucho, más que nada por la confianza de sus clientes.

  • Cerrado

    BocaDePez BocaDePez
    0

    Bueno, a mi en Aruba que es donde tengo el Hosting ya me han cambiado por la cara el password. Ya decia yo porque ayer no

    Bueno, a mi en Aruba que es donde tengo el Hosting ya me han cambiado por la cara el password. Ya decia yo porque ayer no podía actualizar el weblog. Kagonla!

  • Cerrado

    6

    Por posibilidad de que pasen cosas como ésta, tengo desactivados todos los plugins del firefox menos el flash desde hace

    Por posibilidad de que pasen cosas como ésta, tengo desactivados todos los plugins del firefox menos el flash desde hace tiempo.... parece que no estaba haciendo el tonto....

      • Cerrado

        6

        Wo, ya tengo adblock desde prácticamente sus inicios :D…

        Wo, ya tengo adblock desde prácticamente sus inicios :D

        NoScript me pareció ya demasiado

      • Cerrado

        Añadele NoScript y ya fliparás con lo que te queda, parecen…

        Añadele NoScript y ya fliparás con lo que te queda, parecen webs de periódicos serios, xDD

  • Cerrado

    18

    Según akamai, todo anda tranquilo, tambien es verdad que desde la monitorización se detectan mas bien ataques DOS

    Según akamai, todo anda tranquilo, tambien es verdad que desde la monitorización se detectan mas bien ataques DOS.
    www.akamai.com

    El principal foco del ataque es italia con un 80% de webs atacadas, al ataque le han llamado "Italian Job"

    www.infoworld.com

    Ataques al hosting aruba.it
    http://www.forosdelweb.com/showthread.php?p=2040261

    El 15 de junio Panda ya alertaba de la peligrosidad del Mpack al explotar muchas vulnerabilidades es una bomba como la que ataco la nave de los extraterrestres en Independece Day xDD, funciona pa tó.

    www.noticiasdot.com

    Estudio de Panda del Mpack:

    blogs.pandasoftware.com (PDF)

    Fuente original:

    blog.trendmicro.com

    www.websense.com

    blog.hispasec.com

    www.hispasec.com

    Si quereis saber si estais infectados miraos el pc a traves de aqui:

    www.infectedornot.com

    Bicho malo, malo.

    • Cerrado

      18

      Aunque no lo pongais en la noticia, me voy a tomar la…

      Aunque no lo pongais en la noticia, me voy a tomar la libertad de comentarlo...

      El proveedor al que hacen referencia todas las noticias es aruba.it

      Menuda vergüenza, han estado 1 mes con las cuenta de TODOS los clientes con hosting compartido al aire y no se han dignado a mover un dedo.

      Personalmente, de los 5 dominios que tengo con ellos, me han hecho el deface en 3. Y no estan todos en el mismo servidor, estan repartidos en 2 distintos.

      Y lo mejor de todo, tienen la cara de decirte que la culpa es tuya, por no proteger las contraseñas (que curiosamente son las que recomiendan ellos) y se niegan a facilitar ningún tipo de log.

      La cosa es que trabajo con ese ISP por el precio, pero está claro que lo barato sale caro. Segun vayan expirando los dominios, los ire moviendo a otro proveedor

      • Cerrado

        BocaDePez BocaDePez
        0

        yo tengo 3 webs con ellos y sin ningun problema hace años si…

        yo tengo 3 webs con ellos y sin ningun problema

        hace años si me hicieron un deface un grupo palestino de hackers pero era vulnerabilidad del CMS

    • Cerrado

      BocaDePez BocaDePez
      0

      ---------- Cita Si quereis saber si estais infectados miraos…

      ---------- Cita Si quereis saber si estais infectados miraos el pc a traves de aqui: www.infectedornot.com --------------- Y los que no usamos W$ ¿qué?

  • Cerrado

    BocaDePez BocaDePez
    0

    Vaya hijos de P_u-t_i-n los que han hecho esto. Yo creo que del país ese pocas cosas buenas vendrán. Criminales de todos

    Vaya hijos de P_u-t_i-n los que han hecho esto. Yo creo que del país ese pocas cosas buenas vendrán. Criminales de todos tipos: comercio de armas, drogas, tráfico de personas, prostitución y hackers que sólo buscan pasta. No me extrañaría que el K_G/B actual -no me acuerdo del nombre- esté lleno de está gentuza.

  • Cerrado

    18

    Hoy mismo publica ABC en su periódico y en su edición digital que "Siete de cada 10 PCs con Internet tiene algún virus

    Hoy mismo publica ABC en su periódico y en su edición digital que "Siete de cada 10 PCs con Internet tiene algún virus":

    http://www.abc.es/20070620/tecnologia-tecnologia/siete-cada-diez-internet_200706200300.html

    Y no sólo eso, sino que además añaden, refiriendo a los antivirus que: "También llamativo es que el 38 % declara no hacerlo operativo porque ralentiza las descargas."

    Sin comentarios...

    Además, explican que: "Un 8 por ciento [de los usuarios] tienen una actitud temeraria: abren correos desconocidos, desactivan las medidas de seguridad de los equipos, comparten archivos y software no verificado a través de redes P2P..."

    Saludos

    • Cerrado

      BocaDePez BocaDePez
      0

      Lo que le falta decir al artículo es que eso sólo pasa con…

      Lo que le falta decir al artículo es que eso sólo pasa con Windows. Los usuarios de Mac no tienemos ni un virus real (fuera de los conceptos de virus que no son reales) y hay muy pocos en Linux.

  • Cerrado

    Y el canon e impuestos nuetros desaprovechas en tocarnos los huevos con la sgae , pero esto , en cambio , pasa , y q le den a

    Y el canon e impuestos nuetros desaprovechas en tocarnos los huevos con la sgae , pero esto , en cambio , pasa , y q le den a la gente , q los ma s importante es el ferrari del sr ramonzin con su coleguita pau dones de copiloto dandose los aires de bob marley con el canutillo

    • Cerrado

      Jajaja, buena observación, yo no me había dado cuenta de la…

      Jajaja, buena observación, yo no me había dado cuenta de la errata, me rompo, xD

      Señor Redactor, supongo que habrá querido decir "un ANTIvirus eficiente y actualizado" y no lo que ha puesto :)

  • Cerrado

    BocaDePez BocaDePez
    0

    La página de la presentadora es la de Marta Torné. Leo en El País que la web está ahora cerrada y que van a aprovechar

    La página de la presentadora es la de Marta Torné. Leo en El País que la web está ahora cerrada y que van a aprovechar para renovarla.

  • Cerrado

    6

    ¿Vigilados? estamos hablando de la red señores. Seguramente el 1% esta las 24 horas constantemente monitorizado y vigilado

    ¿Vigilados? estamos hablando de la red señores. Seguramente el 1% esta las 24 horas constantemente monitorizado y vigilado (ya sabemos quienes son) depues hay otro 1% que se les escapa de las manos siempre y por ultimo el 98% restante que puede que no este vigilado pero si controlado ¿Y me pregunto? hay alguna difrencia.

  • Cerrado

    En estos momento www.hispasec.com da este error: Proxy Error The proxy server received an invalid response from an upstream

    En estos momento www.hispasec.com da este error:

    Proxy Error

    The proxy server received an invalid response from an upstream server.
    The proxy server could not handle the request GET /.

    Reason: Error reading from remote server

    • Cerrado

      6

      Eso es porque los grandes portales tienen un servidor HTTP de…

      Eso es porque los grandes portales tienen un servidor HTTP de cara al público que es el que sirve las páginas, pero lo que hace de verdad es conectarse a una red privada de servidores HTTP para evitar sobrecargas, el HTTP público pregunta a los privados que debe servir... en ese caso parece que se ha caido la red privada... (o que la red privada era un solo servidor y éste ha petado).

      Salu2!!

  • Cerrado

    BocaDePez BocaDePez
    0

    Espero que esta página no la ataquen: http://es.wikipedia.org/wiki/Ladrones Si la atacasen, la verdad es que me llevaría una

    Espero que esta página no la ataquen:

    http://es.wikipedia.org/wiki/Ladrones

    Si la atacasen, la verdad es que me llevaría una decepción. Me pregunto cuanto durará online :D

  • Cerrado

    BocaDePez BocaDePez
    -6

    HOYGAN LLO HUSO DEVIAN GNULINUS I LLO NUMCA HE TENIO NIMGUN PROVLEMA COM HEL MALWARRE I TANPOCO E TENIO NIMGUN HATAKE

    HOYGAN LLO HUSO DEVIAN GNULINUS I LLO NUMCA HE TENIO NIMGUN PROVLEMA COM HEL MALWARRE I TANPOCO E TENIO NIMGUN HATAKE

  • Cerrado

    BocaDePez BocaDePez
    0

    "" Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial

    "" Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española ""

    Alguien sabe de que quien se trata? o dirección de su website? Porque quiero entrar y "que me infecte" :D

  • Cerrado

    Otra pagina para añadir a la lista es la de un conocido redireccionador: http://www.no-ip.com Segun ponia en sus noticias

    Otra pagina para añadir a la lista es la de un conocido redireccionador:

    http://www.no-ip.com

    Segun ponia en sus noticias, solo para usuarios registrados, que en el dia de ayer habian sufrido desde las 9 AM numerosos ataques DOS en sus servidores y lo estaban solucionando.

1