Warning - MPACK web exploit toolkit

**HD2All** · 20-06-2007

Pessoal já existe nn de sites da especialidade a dizer que este pode vir a ser o maior ataque a sites, infectando esses sites e depois o utilizador final.

Aconselho a fazer actualização do Internet Explorer pois a falha só acontece em Sistemas Desactualizados pelo menos a nivel de utilizador Final, a nivel de servers ainda estou para perceber melhor.

Mas aqui fica algumas noticias "Quentes" que estão a sair pela Europa...

######################TEK######################### ##

Milhares de sites italianos de turismo infectados com software malicioso
Vários sites de turismo italianos foram infectados com software malicioso que visa detectar e recolher dados financeiros confidenciais dos utilizadores que frequentam as páginas. A onda de ataques foi apelidada de "The Italian Job" e, de acordo com a Trend Micro já foram encontrados mais de 4,5 mil sites nas condições acima referidas. Quanto às informações roubadas sabe-se que são enviadas para um servidor localizado em Chicago.

David Perry, porta-voz da Trend Micro citado pela Reuters, informa que este é um dos maiores ataques a sites. De acordo com Perry, o software permite que um troiano se instale nos computadores dos internautas, gravando todas as informações inseridas na máquina, incluindo números de cartões de créditos ou outros dados confidenciais.

Ao que tudo indica os únicos computadores vulneráveis são aqueles que têm instaladas versões não actualizadas do Internet Explorer.

Por enquanto ainda não é conhecida a identidade dos autores dos ataques. Os motivos que levaram os cibercriminosos a escolherem sites de turismo e o número de máquinas já infectadas são, de acordo com Davis Perry, também desconhecidos.

##########################Espanha################# ###
Ataque a gran escala contra webs europeas afecta a miles de usuarios

La industria del malware ha lanzado una ofensiva a gran escala contra páginas web europeas.

(Hispasec) No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias.

Websense ha alertado de que se está usando MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima. ¿Cómo conseguir que las víctimas visiten este servidor y queden infectadas? Lo que se ha observado es que más de 11.000 páginas legítimas (principalmente europeas) han sido atacadas y han alojado en ellas enlaces IFRAME que apuntan al servidor MPACK e infectan así a la víctima. Si ésta es vulnerable (normalmente a vulnerabilidades relativamente antiguas que permiten ejecución de código), se descargará y ejecutará de forma transparente una variante de un troyano bancario de la familia Sinowal (pieza de malware conocida por su sofisticación).

Las páginas afectadas (que se convierten en "cómplices" sin saberlo ni quererlo) son legítimas y con todo tipo de contenidos, desde webs de deportes, hoteles, juegos, medios de comunicación, política, sexo... Habitualmente, los atacantes que consiguen acceso a una web "popular", roban datos y causan un "deface" (cambio de su página índice para que todo el mundo sepa que ha sido atacada). Por el contrario en este caso, han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española. Hispasec se está poniendo en contacto con las principales webs españolas comprometidas para eliminar el código malicioso y prevenir nuevos infectados.

MPACK dispone de un completo "backend" con datos y estadísticas sobre sus "progresos". Hemos tenido acceso a esta zona, donde se recogen estadísticas y datos concretos del "éxito de la operación". El país con más infectados es Italia (porque a su vez, son mayoría los dominios .it que están siendo usados para "infectar"), seguido de España y Estados Unidos.

Las vulnerabilidades que están siendo aprovechadas afectan a Windows, pero no sólo a los usuarios de Internet Explorer, como es habitual. También se valen de fallos en los plugins Windows Media y QuickTime de Firefox y Opera. A pesar del uso minoritario de este último, no han querido dejar escapar ni una sola oportunidad de infección.

Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado (porque no mantiene su sistema actualizado). A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España.

Aunque este ataque a gran escala pueda ser mitigado en los próximos días, no olvidemos que se trata de un caso más entre un número indefinido de ataques similares todavía no detectados que se están llevando a **** con este mismo kit. Una vez más, advertimos de que realizar una navegación "responsable" no es suficiente, no previene de los incidentes de seguridad, puesto que los atacantes están introduciendo sus códigos maliciosos en todo tipo de páginas webs. Tampoco el uso de uno u otro navegador (como muchos piensan) solventa por completo el problema. Ninguna acción "aislada" lo hace. Sólo la defensa en profundidad (tanto de servidores como de clientes) puede mantenernos razonablemente a salvo.

########################Brasil#################### ###
Mais de 10 mil sites europeus sofreram ataques Web, diz Websense

São Paulo, 19 de junho de 2007 – Mais de 10 mil sites da Europa sofreram ataques Web, segundo alerta do Websense Security Labs. As páginas Web que foram comprometidos têm IFRAMES apontando para o site da infecção concentradora.
Segundo o laboratório, o site principal tem uma página de estatísticas e mostra números bastante elevados de usuários se conectando a sites infectados e altos níveis de usuários que foram comprometidos. As principais regiões infestadas são Itália e Espanha, além dos Estados Unidos.
Supondo que os usuários se conectem a um dos sites comprometidos e estejam vulneráveis a um dos diversos exploits carregados, um Trojan Horse ( cavalo de tróia ) é baixado em suas máquinas, com o objetivo de roubar informações de banco e outros dados confidenciais via downloads de infecção da Web.

################################################## ##

POr isso mais uma razão para terem o Antivirus Actualizado, e Windows Update em dia.

Abraços e vamos ver o que isto vai dar.

**nartanga** · 20-06-2007

Depois daquilo que vem inplícito na notícia, em que eles atacam os grandes sites para sacar os dados da conta!!!!!
A minha dúvida é a seguinte..
Todos aqueles que fazem doacções não estarão a correr o risco de uma forma indirecta, estarem a dar os dados do cartão,já que eles entram no sistema dos grandes sites???????????

**seliver** · 20-06-2007

Eu acho que já tive um vírus desses, que era um ficheiro do windows falso, que se chama csrss.exe mas este falso, que se situa no c:\windows e tem um ícone dum ficheiro de música, corre automaticamente no inicio de qualquer sessão...por isso tenham cuidado...
SeliveR

**joc233** · 20-06-2007

e sempre bom saber-mos para ficarmos atentos!!!
obrigado pelo info

cmp
jp

**Krasy** · 20-06-2007

gracias acabei agora mesmo de fazer 24h seguidas a montar um 2003 server r3 e é sempre bom saber disso

**lghtbr** · 20-06-2007

Originally Posted by Krasy

gracias acabei agora mesmo de fazer 24h seguidas a montar um 2003 server r3 e é sempre bom saber disso

R3 ???????

Tens a certeza que era R3 (saiu o R3????) ou isso é das 24 horas sem dormir????

**HD2All** · 20-06-2007

Originally Posted by lghtbr

R3 ???????

Tens a certeza que era R3 (saiu o R3????) ou isso é das 24 horas sem dormir????

Tambem não conheço o R3 se existe não é da Microsoft

Abraços

**echoman** · 21-06-2007

Obrigado ricards pela informação. Temos que ficar atentos e seguir as dicas que nos indicaste.

Cumps.

Thread Tools
Show Printable Version Email this Page
Display Modes
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode

Warning - MPACK web exploit toolkit Conversa relacionado no geral ou de alguma forma com o mundo satélite. Nenhumas chaves ou conversa de cabo terrestre!

Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)