Seguridad archivos - Página 18 de 192

Limpiando un blog de WordPress infectado por el Pharma Hack by @Fedelosa

29 diciembre, 201229 diciembre, 2012 por Alejandro Eguía

El siguiente artículo es una colaboración de mi amigo @fedelosa escrita especialmente para SpamLoco. Su blog se vio infectado con una técnica de cloaking y nos cuenta de primera mano como buscar los códigos maliciosos y limpiar el sitio.

Hace unos días me comentaron por Twitter que Fedelosa.com estaba apareciendo en los resultados de Google como “Sitio comprometido”, ni bien terminé de putear :P me puse a revisar que era lo que estaba sucediendo, entré al blog y se veía bien, revisé el código fuente de varias páginas (posts) diferentes y de la página principal, y no había ningún código malicioso allí, por lo que lo dejé pasar.

Al otro día, no tengo idea de por qué, se me ocurrió buscar mi blog en Google, solo poniendo “fedelosa” aparece como primer resultado, y ahí fue la sorpresa al encontrarme con algo como esto:

fedelosa en google infectado

Comentarios spam en YouTube publicados por los estafadores estilo 419

28 diciembre, 201228 diciembre, 2012 por Alejandro Eguía

En el artículo que escribí hace algunos días sobre el ~~hacker~~ estafador que cambiaba las notas de la universidad por 200 dólares, me dejaron un comentario con unos enlaces a YouTube donde se pueden ver decenas o tal vez cientos de comentarios spam que son dejados por estos personajes.

Recordemos su forma de operar: aseguran que pueden cambiar las notas o hackear correos, envían un e-mail spoofing (dirección de correo suplantada) o capturas de pantalla retocadas con Photoshop como prueba de que el «trabajo» lo realizaron, finalmente solicitan el envío de dinero por Western Union y cuando las víctimas pagan para recibir la información desaparecen, pues la estafa ya está realizada. Algo muy parecido a las famosas estafas nigerianas o 419.

Los siguientes son algunos de los comentarios que nos podemos encontrar en YouTube, los tipos seguramente copian y pegan el mismo texto varias veces porque ni deben de saber que también lo pueden hacer de forma automática, pero bueno, mejor no enseñarles esas cosas:

Nueva opción para deshabilitar Java en todos los navegadores

19 enero, 201321 diciembre, 2012 por Alejandro Eguía

Una muy buena noticia para los usuarios de Java, con la última versión podrán desactivar el complemento en todos los navegadores con un simple clic, además de seleccionar diferentes niveles de seguridad para ejecutar las aplicaciones.

Recordemos que Java es una tecnología utilizada para correr aplicaciones en el escritorio y dentro del navegador. Se encuentra instalado en la mayoría de los equipos y desde hace al menos dos años se ha convertido en uno de los complementos más atacados y aprovechados por los ciberdelincuentes para infectar equipos.

Mantenerlo actualizado es sumamente importante, pues al navegar por la red con una versión vulnerable el equipo se podría infectar de forma automática por el simple hecho de visitar una página maliciosa. En el blog he comentado varios ejemplos sobre ello como el de la imagen con blackhat SEO, el constructor de páginas falsas o la demo que subí a YouTube.

Pero en los últimos tiempos debido a varios 0-days descubiertos en Java, utilizar el complemento en el navegador se había vuelto peligroso por lo que se recomendaban dos cosas: desactivarlo de los navegadores (algo que se debía hacer manualmente para cada uno de ellos) o directamente desinstalarlo del sistema si no era algo que se utilizara a menudo.

Lwitter, un phishing de Twitter ya controlado

19 diciembre, 2012 por Alejandro Eguía

Circulan nuevos mensajes directos de Twitter que son enviados de forma automática desde cuentas comprometidas, en realidad se trata del phishing clásico que busca llamar la atención del usuario para que haga clic en un enlace y termine en una página falsa que solicita su contraseña.

Uno de los mensajes que circulan es el siguiente:

geez this asshole is making updates with fucked up things that concern you [enlace corto]

Offline POS skimmers, cuidado con las terminales de pago falsas

16 febrero, 201918 diciembre, 2012 por Alejandro Eguía

Muy interesante artículo el que publica Brian Krebs en su blog sobre los offline POS skimmers, terminales de pago falsas que clonan las tarjetas de crédito. Brian se ha encontrado en un foro de ciberdelincuentes profesionales con un vendedor de skimmers que ofrece terminales POS (point of sale) manipulados para simular la confirmación de las compras y clonar tarjetas.

Concretamente vende dos modelos inalámbricos de Verifone (vx510 y vx670) a partir de los 2.500 dólares. El precio puede parecer alto, pero en comparación con las ganancias que un delincuente puede obtener con ellos es una «inversión» mínima.

Estos dispositivos simulan procesar las compras imprimiendo tickets falsos, mientras que los datos de las tarjetas y los PINs son guardados en una memoria interna para posteriormente recuperarlos con un cable USB. Además, también pueden simular errores de conexión con la red.

En el siguiente video subido por Brian se puede ver el funcionamiento, la terminal se encuentra desconectada de la red y aún así al pasar una tarjeta se imprime un ticket como si todo estuviera bien: