comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

La seguridad de WordPress en jaque, miles de webs infectadas

  • 1 Respuestas
  • 1518 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado graphixx

  • *
  • Moderador
  • Mensajes: 1288
  • Actividad:
    15%
  • Reputación 18
  • Científico de BIG DATA
    • Ver Perfil
    • Sistemas y Controles
« en: Septiembre 25, 2015, 08:53:23 pm »


Nuclear Exploit Kit es un clásico de los paquetes de exploits destinados a piratear servidores. Ahora WordPress está bajo su asedio, con miles de webs comprometidas.

Miles de webs que usan el gestor de contenido WordPress han sido atacadas. El objeto de estos ataques no era otro que infectar a los visitantes con potentes exploits de malware, según se supo ayer jueves a través de un artículo publicado por Sucuri, una empresa especializada en seguridad.

La campaña empezó hace tan sólo quince días, pero durante las últimas 48 horas el número de sitios comprometidos ha subido de forma espectacular, pasando de 1.000 el martes a casi 6.000 ayer jueves. Las páginas web secuestradas se usan para redirigir a los visitantes a un servidor que introducía el código de ataque en el ordenador visitante.

Este código de ataque se encuentra actualmente dentro del Nuclear Exploit Kit, que se puede comprar en el mercado negro. El servidor que inyecta el malware prueba, además, distintos exploitsdependiendo del sistema operativo y de las aplicaciones que use el visitante.

Nuclear Exploit Kit, un viejo conocido

Nuclear Explot Kit es uno de los packs de exploits más usados. Lleva en activo desde 2009 y ha estado evolucionando constantemente. Es muy apreciado por los hackers por el amplio espectro de ataques que puede realizar, y que se aprovecha de las debilidades de distintos plugins web como Flash, Silverlight o lectores integrados de PDF en los navegadores —además de esto cuenta con un exploit exclusivo para Internet Explorer—.



El uso principal que se le da a Nuclear Exploit Kit es la inyección de malware  y ransomware. Elransomware es, a grandes rasgos, un tipo de virus que “secuestra” el ordenador infectado con un aviso falso de una autoridad policial. En dicho aviso se informa a la víctima de que se ha detectado que su dirección IP pública ha participado en actos ilícitos en Internet, y que debe pagar una cantidad X de dinero para recuperar sus datos. Lo anterior es sólo un resumen general de cómo actúa este tipo de malware. Hay distintos tipos de ransomware, cada uno con funciones específicas y y con diferencias en forma de operar.

Volviendo a los packs de exploits en general y a Nuclear Exploit Kit en particular, el hecho de que los exploits se agrupen en paquetes les otorga una naturaleza polimórfica difícil de detectar: Un paquete puede adoptar cualquier forma, lo que hace complicado descubrirlos a simple vista. Por esta razón los packs de exploits se usan fundamentalmente en ataques de día cero —ataques que se aprovechan de vulnerabilidades sin corregir en un sistema—, y se han convertido en una herramienta principal en las operaciones de exfiltración de datos.



Nuclear Exploit Kit es un viejo conocido de los especialistas en seguridad, y su efecto a lo largo de los años se ha dejado sentir en el número de industrias afectadas y en el volumen de webs comprometidas. Sectores económicos importantes se han visto sometidos a brechas de datos importantes: Servicios financieros, negocios privados, medios y servicios de comunicación y departamentos gubernamentales.

El objetivo: obtención de datos de usuarios finales

Daniel Cid, CTO de Sucuri, comentaba lo siguiente en el blog de la empresa:

Si lo piensas detenidamente, las páginas web comprometidas sólo son medios para que los criminales lleguen a tantos endpoints como puedan. ¿Cuál es la mejor manera de llegar a un endpoint [en Internet]? A través de las webs, por supuesto.



En este caso particular, el endpoint o “punto final” serían los ordenadores de usuarios finales. El objetivo de estos ataques pasaría, en su mayoría, por obtener datos de usuarios a través de infecciones producidas en páginas web comprometidas que el usuario podría visitar intencionadamente o de forma casual.

El jueves Sucuri detectó miles de webs compromeitdas, de las cuales un 95% utilizaban el gestor de contenidos WordPress. Los investigadores de la empresa aún no han determinado cómo se hackearon los sitios web, pero sospechan que tiene que ver con los plugins que utiliza este gestor de contenidos. De momento el 17% de todas estas webs ya han sido bloqueadas por un servicio de Google que se encarga de advertir a los usuarios que están visitando página conmalware.

En Sucuri han llamado a esta campaña VisitorTracker, y por ahora parece que se va a tardar una buena temporada en contenerla.

Fuente:noticiasseguridad.com
« Última modificación: Septiembre 25, 2015, 09:42:47 pm por Gabriela »
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Digital Shadow

  • *
  • Underc0der
  • Mensajes: 27
  • Actividad:
    0%
  • Reputación 0
  • Todo esta conectado
    • Ver Perfil
« Respuesta #1 en: Septiembre 27, 2015, 07:26:12 pm »
Dios, que gran lio, a pesar de que ese malware sea tan potente,   siento que podríamos aportar algo.
Se que  aun no tengo una amplia gama de conocimientos en los temas en este bonito sitio pero,  ¿y si ayudamos a los especialistas?.
Somos muchos aqui y somos hackers (aunque sea en espíritu), podemos hacer teorías, diagramas o incluso una lógica de los criminales o de en si, del código del Malware y tratar de ayudar a los especialistas, ¿no?

 

¿Te gustó el post? COMPARTILO!



Reino Unido teme a Kaspersky: cree que el software ruso compromete la seguridad

Iniciado por graphixx

Respuestas: 0
Vistas: 537
Último mensaje Diciembre 05, 2017, 01:26:50 pm
por graphixx
Un fallo de seguridad pone en riesgo casi todos los ordenadores modernos

Iniciado por graphixx

Respuestas: 0
Vistas: 684
Último mensaje Septiembre 14, 2018, 12:35:37 am
por graphixx
Descubren un fallo 0day en AVAST ANTIVIRUS que compromete la seguridad de varios

Iniciado por cobrapiromaniak

Respuestas: 2
Vistas: 1366
Último mensaje Octubre 14, 2015, 06:27:25 am
por Yavi
Equipo Mundial de Seguridad de la Copa FIFA accidentalmente revela su conexión..

Iniciado por Mayk0

Respuestas: 1
Vistas: 1065
Último mensaje Junio 29, 2014, 07:44:24 pm
por Once
La Wi-Fi Alliance presenta WPA3, la nueva versión para proporcionar seguridad

Iniciado por K A I L

Respuestas: 0
Vistas: 613
Último mensaje Enero 08, 2018, 10:26:40 pm
por K A I L