El sitio MySQL.com fue comprometido y modificado para intentar infectar con malware a los visitantes, esto a través de un iframe en la página, se redirige a otra URL que acaba en un exploit pack llamado BlackHole. Esto es un kit conocido que permite servir diferentes exploits según las características del visitante para poder aprovechar vulnerabilidades de su navegador, Java o Flash.
Brian Krebs encontró el 21 de septiembre en un foro un mensaje de un supuesto atacante ruso que mostraba haber tenido acceso a MySQL.com y poseer la contraseña de root. La vendía por 3.000 dólares. Actualmente el link del foro ha sido borrado. El atacante se podía contactar en la dirección sourcec0de@neko.im. Él mismo vendedor reconocía que, con 40.000 visitas diarias, MySQL.com era un excelente punto donde colocar un exploit kit.
Armorize publicó un video en YouTube donde se muestra qué ocurría al visitar MySQL.com cuando estaba infectado, disponible desde: http://www.youtube.com/watch?v=J7prODlHniU
Todavía quedan dudas por resolver con respecto al compromiso. No existen datos oficiales sobre el tiempo que ha estado comprometido el sistema y cómo ha ocurrido. En estos parece que la página opera correctamente.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4720
Brian Krebs encontró el 21 de septiembre en un foro un mensaje de un supuesto atacante ruso que mostraba haber tenido acceso a MySQL.com y poseer la contraseña de root. La vendía por 3.000 dólares. Actualmente el link del foro ha sido borrado. El atacante se podía contactar en la dirección sourcec0de@neko.im. Él mismo vendedor reconocía que, con 40.000 visitas diarias, MySQL.com era un excelente punto donde colocar un exploit kit.
Armorize publicó un video en YouTube donde se muestra qué ocurría al visitar MySQL.com cuando estaba infectado, disponible desde: http://www.youtube.com/watch?v=J7prODlHniU
Todavía quedan dudas por resolver con respecto al compromiso. No existen datos oficiales sobre el tiempo que ha estado comprometido el sistema y cómo ha ocurrido. En estos parece que la página opera correctamente.
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4720
No hay comentarios:
Publicar un comentario