Timando a los timadores II de II

Estándar

Hola a tod@s!

En el primer post estuvimos viendo en primera instancia la historia de cómo unos rusos estaban spammeando la red. Aunque el post que escribí ayer está en tono jocoso, debido principalmente a que los spammers no se han preocupado por la seguridad de sus sites, el asunto es bastante serio. El impacto del ataque se puede apreciar en una de las imágenes que publiqué ayer.

Imagen9 

Imagen 1. Impacto del ataque. + de 1.590.000 hits

Sorprende también que entre los favoritos de los rusos se encuentren sistemas operativos tan poco accesibles por malware o vulnerabilidades como MAC OSX…

imagen13

Imagen 2. Mac OSX + IPhones! Oh my God!!

A la hora del descubrimiento de servidores, me sorprendieron varios ficheros y directorios. Hablemos de los directorios en primera instancia.
En una de las Webs (Todavía accesible a día de hoy), existen dos directorios que acojonan a simple vista, debido al contenido de ellos. En uno de ellos, llamado cookies se encuentran más de 500 ficheros con cookies de correos electrónicos spoofeados, y los que le quedan….

Imagen14

Imagen 3. Directorio Cookies

En cuanto al otro directorio, llamado spammed, contiene identidades de correos electrónicos que YA han sido crackeados, con lo que los rusos tienen un control total de las acciones llevadas a través de esos correos electrónicos. Si a eso le sumamos la cantidad de información privada (extractos bancarios, passwords, etc…) que podemos encontrarnos en esas "identidades", la cosa escala a niveles superiores.

Imagen12

Imagen 4. Directorio Spamed

En el directorio raíz, también encontramos mucha información. En dicho directorio, encontramos más de 200 MB en correos electrónicos. Contando con que son archivos de tipo TXT, son muchos correos electrónicos por crackear…

Imagen11

Imagen 5. Directorio Principal.

En cuanto a las direcciones IP, tan solo una de ellas está listada en algún tipo de Black list, tal y como reflejan Robtex y SpamHaus.

Imagen15

Imagen 6. Lista negra. Robtex

Imagen16

Imagen 7. Lista Negra SpamHaus

Gracias a que pertenencen a una de estas listas, los navegadores que consulten estas listas, pueden alertar de un posible peligro al visitar alguna de estas páginas. Prueba de ello es Google y su sistema Safe Browsing.

Captura2

Imagen 8. Google Safe Browsing

Imagen17
Imagen 9. Malware en URL

Imagen18
Imagen 10. Malware en URL

Otro dato interesante que me ha llamado la atención, y haciendo honor a las "auditorías escalables", en cuanto a servicios y servidores se refiere, es la visualización de un archivo Log en uno de los servidores. Este archivo Log contiene las rutas de lo que parece ser el traspaso de ficheros entre dos servidores. Una dirección más para el EvilMap!. Como no tenía ganas de seguir "auditando", porque esto puede ser el nunca acabar, pego un bonito phpinfo que se han dejado por ahí…. 😉

Imagen21

Imagen 11. Daaaatossss

Imagen19
Imagen 12. PhpInfo

Y por último, si os digo que el PhpMyAdmin de una de las Webs no tenía password…. La cosa cambia no?

Imagen20

Imagen 13. Ohhhhh No hay datos!
 

En cuanto al código fuente del malware, por si alguien le quiere echar un vistazo, os paso los links de ambos códigos (Javascript y Java) pasteados en pastebin.

http://pastebin.com/f356f20f0 (Código Javascript)

http://pastebin.com/f45e076e2 (Código Java)

Salu2!

Anuncios