Warning - MPACK web exploit toolkit

HD2All

HD2All

Holy Grail
Messages
4,723
Likes
0
My Satellite Setup
######DreamBox 800s
######DreamBox 7020s
######DreamBox 600s
######DreamBox 500s
######BullBox 800s
######BullBox 500s
My Location
F.L.S.P Underground :)
#1
Pessoal já existe nn de sites da especialidade a dizer que este pode vir a ser o maior ataque a sites, infectando esses sites e depois o utilizador final.

Aconselho a fazer actualização do Internet Explorer pois a falha só acontece em Sistemas Desactualizados pelo menos a nivel de utilizador Final, a nivel de servers ainda estou para perceber melhor.

Mas aqui fica algumas noticias "Quentes" que estão a sair pela Europa...

######################TEK###########################

Milhares de sites italianos de turismo infectados com software malicioso
Vários sites de turismo italianos foram infectados com software malicioso que visa detectar e recolher dados financeiros confidenciais dos utilizadores que frequentam as páginas. A onda de ataques foi apelidada de "The Italian Job" e, de acordo com a Trend Micro já foram encontrados mais de 4,5 mil sites nas condições acima referidas. Quanto às informações roubadas sabe-se que são enviadas para um servidor localizado em Chicago.

David Perry, porta-voz da Trend Micro citado pela Reuters, informa que este é um dos maiores ataques a sites. De acordo com Perry, o software permite que um troiano se instale nos computadores dos internautas, gravando todas as informações inseridas na máquina, incluindo números de cartões de créditos ou outros dados confidenciais.

Ao que tudo indica os únicos computadores vulneráveis são aqueles que têm instaladas versões não actualizadas do Internet Explorer.

Por enquanto ainda não é conhecida a identidade dos autores dos ataques. Os motivos que levaram os cibercriminosos a escolherem sites de turismo e o número de máquinas já infectadas são, de acordo com Davis Perry, também desconhecidos.


##########################Espanha####################
Ataque a gran escala contra webs europeas afecta a miles de usuarios

La industria del malware ha lanzado una ofensiva a gran escala contra páginas web europeas.

(Hispasec) No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias.

Websense ha alertado de que se está usando MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima. ¿Cómo conseguir que las víctimas visiten este servidor y queden infectadas? Lo que se ha observado es que más de 11.000 páginas legítimas (principalmente europeas) han sido atacadas y han alojado en ellas enlaces IFRAME que apuntan al servidor MPACK e infectan así a la víctima. Si ésta es vulnerable (normalmente a vulnerabilidades relativamente antiguas que permiten ejecución de código), se descargará y ejecutará de forma transparente una variante de un troyano bancario de la familia Sinowal (pieza de malware conocida por su sofisticación).

Las páginas afectadas (que se convierten en "cómplices" sin saberlo ni quererlo) son legítimas y con todo tipo de contenidos, desde webs de deportes, hoteles, juegos, medios de comunicación, política, sexo... Habitualmente, los atacantes que consiguen acceso a una web "popular", roban datos y causan un "deface" (cambio de su página índice para que todo el mundo sepa que ha sido atacada). Por el contrario en este caso, han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española. Hispasec se está poniendo en contacto con las principales webs españolas comprometidas para eliminar el código malicioso y prevenir nuevos infectados.

MPACK dispone de un completo "backend" con datos y estadísticas sobre sus "progresos". Hemos tenido acceso a esta zona, donde se recogen estadísticas y datos concretos del "éxito de la operación". El país con más infectados es Italia (porque a su vez, son mayoría los dominios .it que están siendo usados para "infectar"), seguido de España y Estados Unidos.

Las vulnerabilidades que están siendo aprovechadas afectan a Windows, pero no sólo a los usuarios de Internet Explorer, como es habitual. También se valen de fallos en los plugins Windows Media y QuickTime de Firefox y Opera. A pesar del uso minoritario de este último, no han querido dejar escapar ni una sola oportunidad de infección.

Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado (porque no mantiene su sistema actualizado). A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España.

Aunque este ataque a gran escala pueda ser mitigado en los próximos días, no olvidemos que se trata de un caso más entre un número indefinido de ataques similares todavía no detectados que se están llevando a **** con este mismo kit. Una vez más, advertimos de que realizar una navegación "responsable" no es suficiente, no previene de los incidentes de seguridad, puesto que los atacantes están introduciendo sus códigos maliciosos en todo tipo de páginas webs. Tampoco el uso de uno u otro navegador (como muchos piensan) solventa por completo el problema. Ninguna acción "aislada" lo hace. Sólo la defensa en profundidad (tanto de servidores como de clientes) puede mantenernos razonablemente a salvo.



########################Brasil#######################
Mais de 10 mil sites europeus sofreram ataques Web, diz Websense

São Paulo, 19 de junho de 2007 – Mais de 10 mil sites da Europa sofreram ataques Web, segundo alerta do Websense Security Labs. As páginas Web que foram comprometidos têm IFRAMES apontando para o site da infecção concentradora.
Segundo o laboratório, o site principal tem uma página de estatísticas e mostra números bastante elevados de usuários se conectando a sites infectados e altos níveis de usuários que foram comprometidos. As principais regiões infestadas são Itália e Espanha, além dos Estados Unidos.
Supondo que os usuários se conectem a um dos sites comprometidos e estejam vulneráveis a um dos diversos exploits carregados, um Trojan Horse ( cavalo de tróia ) é baixado em suas máquinas, com o objetivo de roubar informações de banco e outros dados confidenciais via downloads de infecção da Web.

####################################################



POr isso mais uma razão para terem o Antivirus Actualizado, e Windows Update em dia.

Abraços e vamos ver o que isto vai dar.;)
 
nartanga

nartanga

Regular Member
Messages
818
Likes
0
My Satellite Setup
dream 500/800HD
fte_max200/202/c_abracadabracard
mvision HD200
ZON/MEO/D+
My Location
Buracodebala city
#2
Depois daquilo que vem inplícito na notícia, em que eles atacam os grandes sites para sacar os dados da conta!!!!!
A minha dúvida é a seguinte..
Todos aqueles que fazem doacções não estarão a correr o risco de uma forma indirecta, estarem a dar os dados do cartão,já que eles entram no sistema dos grandes sites???????????:confused:confused
 
seliver

seliver

Satellites.co.uk Member
Messages
323
Likes
0
My Satellite Setup
Satellite Receiver : Neotion Box 1000s-501
Computer : Windows Xp Professional Service Pack 2; Pentium 4 3.01GHz 1gb RAM
My Location
Penafiel, Portugal
#3
Eu acho que já tive um vírus desses, que era um ficheiro do windows falso, que se chama csrss.exe mas este falso, que se situa no c:\windows e tem um ícone dum ficheiro de música, corre automaticamente no inicio de qualquer sessão...por isso tenham cuidado...
SeliveR
 
joc233

joc233

Regular Member
Messages
188
Likes
0
My Satellite Setup
Kathrein ufs 910
Ipbox 420
My Location
germany
#4
e sempre bom saber-mos para ficarmos atentos!!!
obrigado pelo info

cmp
jp
 
Krasy

Krasy

The Phoenix
Messages
248
Likes
0
My Satellite Setup
edision 2600ci
.........2620
.........2100
.........2120
dreambox 500s
Astra---Hotbird---Hispasat
My Location
portugal
#5
gracias acabei agora mesmo de fazer 24h seguidas a montar um 2003 server r3 e é sempre bom saber disso
 
lghtbr

lghtbr

Regular Member
Messages
59
Likes
0
My Satellite Setup
FTE 420SM, S200, Edision 1100 e Illusion M5 - Panela Fixa 60cm LNB duplo + 1m com motor Dimo 120+
My Location
PT
#6
Krasy said:
gracias acabei agora mesmo de fazer 24h seguidas a montar um 2003 server r3 e é sempre bom saber disso

R3 ???????

Tens a certeza que era R3 (saiu o R3????) ou isso é das 24 horas sem dormir????
 
HD2All

HD2All

Holy Grail
Messages
4,723
Likes
0
My Satellite Setup
######DreamBox 800s
######DreamBox 7020s
######DreamBox 600s
######DreamBox 500s
######BullBox 800s
######BullBox 500s
My Location
F.L.S.P Underground :)
#7
lghtbr said:
R3 ???????

Tens a certeza que era R3 (saiu o R3????) ou isso é das 24 horas sem dormir????
Tambem não conheço o R3 se existe não é da Microsoft ;)

Abraços
 
echoman

echoman

Specialist Contributor
Messages
5,014
Likes
3
My Satellite Setup
Kaon 230, Echostar D-2500-ip - cam matrix reborn, Max S100/S200 FTE, DSR 3000, extremebox 500, Unibox/venton HD.
2 Panelas 1.80 motorizadas foco primário, 1.20 e 0.80 offset.
My Location
Portugal
#8
Obrigado ricards pela informação. Temos que ficar atentos e seguir as dicas que nos indicaste.

Cumps.
 
Top