HomeBlogsjbogarin's blog

Asproxeando radialmente la entrada a los clients costarricense

Sun, 06/07/2008 - 13:37 — jbogarin

En días recientes, nuestra división se ha dado cuenta que Asprox ha infectado la página de una conocida radio nacional.

La primera aparición se dio durante el sábado 14 de Junio, momentos antes del partido entre la selección de Costa Rica y el de Granada por la clasificación para el campeonato. El partido no pudo ser televisado, por lo que hubo un aumento de los servicios de radio en línea. Esto hizo pensar que el ataque podía ser dirigido y no una coincidencia.

Una inyección SQL del script b.jss en el dominio exe94.com que a su vez redirigía a datajto.com, luego al adsitelo.com y al final servía el troyano, load.php mediante un javascript ofuscado.

Luego de analizar la infección del troyano, los archivos infectados eran de una instalación alemana de Windows XP, por lo que la tesis de un ataque dirigido eran equivocados.

Se envió un email a la compañía indicándoles que tomaran acciones contra esta infección, lo que hicieron programando estáticamente la parte vulnerable.

20 días después, el 4 de Julio la misma compañia de radio estaba sirviendo los nuevos scripts ngg.js para los sitios:

  • ucomddv.com
  • upcomd.com
  • adwadb.mobi

Estos redirigían a varios sitios y un script cgi enviaba al cliente a msn.com.

Ambos ataques se dieron usando inyección SQL y fast-flux único para esparcirse más con registros A cambiando cada 10 minutos, pero, los registros NS autoritarios permaneciendo constantes en el tiempo.

Es importante notar que el primer grupo de ataques era más directo con los dominios que sirvió, solo uno en la página principal que salto a otros dos para alcanzar su destino final. No obstante esta nueva serie sirvió hasta 3 dominios en la página principal y después no necesariamente el mismo dominio después de eso. Además, incorporó mejores técnicas de detección de navegadores.

Las inyecciones SQL están siendo muy fuertes ahora, infectando sitios de todo el mundo, no solo de países desarrollados. Se está presentando en páginas que son descuidadas en su programación dinámica.

Más información de esto puede ser vista en el gran blog de Dancho Danchev y en caso de ser víctima de esta enfermedad, el medicamento puede ser encontrado aquí.