Pancake Day – El sitio de Jamie Oliver presenta recetas con Malware


Desde el blog de Websense Security Labs:

Pancake Day –El sitio de Jamie Oliver presenta recetas con Malware

Los investigadores del Websense® Security Labsson conscientes de actividad maliciosa reciente en el sitio web oficial de Jamie Oliver. Jamie Oliver es una celebridad de la cocina en el Reino Unido con más de 10 millones de visitas al mes. Como observó Malwarebytes, su sitio (jamieoliver.com) se ha visto comprometido por una inyección directa que sirve contenido malicioso. Con un ranking Alexa de 5280 a nivel global y 519 en el Reino Unido, el sitio es un blanco perfecto para los actores maliciosos. Esto se comprobó en el Pancake Day cuando los gourmets de todo el mundo buscaban deliciosas recetas. El uso de una inyección directa puede inundar ciertos anuncios con malware para su distribución.

“La búsqueda de la mezcla perfecta para panqueques el martes de Carnaval podría haber dado lugar a que el chef favorito tuviera la receta ideal. Los autores de malware quieren llegar a más víctimas desprevenidas y sólo necesitan alojar por un breve momento su código en estos sitios populares para capturar grandes volúmenes y donde los webmasters no están preparados. Si los usuarios finales navegan en dichos sitios, las empresas deben asegurarse de que tienen la receta perfecta para detectar los kits de malware y exploits conocidos, además de combinarlos con análisis en tiempo real para asegurar que las amenazas alojadas sean detenidas”, dijo Carl Leonard, Analista Principal de Seguridad de Websense.

Proceso de Compromiso

  • Página Comprometida de Jamie Oliver

La página comprometida se observó como hxxp://www.jamieoliver.com/recipes/. Una búsqueda rápida de Jamie Oliver en Google reveló que es el segundo resultado devuelto. Esta página recibe una llamada a un archivo JS que puede inyectarse o modificarse por los actores maliciosos.

  • Jamie Oliver hospedó un archivo JavaScript malicioso

El archivo disfrazado como un archivo JS legítimo fue observado como hospedado y redireccionaba el contenido. Investigadores de Malwarebytes analizaron su contenido y encontraron dos capas de ofuscación que conducen al usuario a un segundo sitio comprometido vía un iFrame.

  • Sitio de WordPress comprometido

El segundo sitio comprometido trabaja como una ubicación desde donde se hace girar al usuario. Es interesante que los usuarios no dirigidos desde el sitio de Jamie Oliver, así como los servicios de VPN utilizados, no sirvieron para explotar el contenido. Lo mismo sucedió para los visitantes por segunda vez.

  • Entrega de Contenido Explotado

Una vez que el usuario cumple con los controles es redirigido para explotar el contenido, tal y como lo ilustra el siguiente ejemplo: hxxp://tgsquy.sisokuleraj[.]xyz/images/30913695361424116048.js. Los archivos objetivo JS son generados aleatoriamente y se observó más de un nombre de host. Websense Labs ha monitoreado la actividad maliciosa en el uso de este dominio de primer nivel (TLD)

Los clientes de Websense estuvieron protegidos en todo momento mediante nuestro ReputationCategory Set. Protección adicional ha sido agregada en ACE, nuestra Advanced Classification Engine, en las diferentes etapas del ataque, como se detalla a continuación:

  • Stage 3 (Redirección) – ACE protegió contra la redirección maliciosa que lleva el Exploit Kit
  • Stage 4 (Exploit Kit) – ACE protegió contra el contenido del Fiesta Exploit Kit mediante el Reputation Category

Resumen

Los sitios de alto perfil no comerciales muestran que los estilos de vida personales de los usuarios también pueden tener un efecto en la seguridad de una organización. Navegar por sitios de ocio –una práctica común en las empresas- también puede exponer los recursos empresariales a contenidos que podrían no tener esos altos estándares de seguridad. Además los clientes de Websense deben asegurarse de que los canales de comunicación disponibles al público estén siempre actualizados. Esto puede impedir que terceros intenten llegar a usted. Sin importar si la inyección de contenidos en Pancake Day es coincidencia o algo intencional, hemos observado actores maliciosos que aprovechan los acontecimientos actuales con fines maliciosos. ¿Quién será el siguiente en la lista de ataques? Después del Día de San Valentín y del Día del Panqueque, el Año Nuevo Chino es el que sigue en la fila. Los usuarios de Websense deben permanecer siempre vigilantes cuando cualquier forma de contacto exija una acción inmediata o haga referencia a temas que normalmente no se consideran un riesgo de seguridad.

En este momento, el archivo JavaScript del sitio web de Jamie Oliver ya no alberga código malicioso. Nos pusimos en contacto con la empresa que gestiona el sitio de Jamie Oliver, y confirmaron que son conscientes de la amenaza y en la actualidad están realizando sus propias investigaciones

Para obtener más información por favor visite el blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/02/18/pancake-day-jamie-oliver-site-served-recipes-with-a-side-of-malware.aspx

Acerca de Websense, Inc.

logo Websense

Websense, Inc. es líder mundial en proteger a las organizaciones contra los ataques cibernéticos más recientes y contra el robo de datos. Las soluciones completas de seguridad Websense TRITON unifican la seguridad web, la seguridad del correo electrónico, la seguridad móvil y la prevención contra la pérdida de los datos (DLP) al menor costo total de propiedad. Más de once mil empresas confían en la inteligencia de seguridad de Websense TRITON para detener las amenazas persistentes avanzadas, los ataques dirigidos y malware que está en constante evolución. Websense evita las brechas de datos, el robo de la propiedad intelectual y aplica el cumplimiento de la seguridad y las mejores prácticas. Una red global de socios de canal distribuye las soluciones Websense TRITON escalables y unificadas basadas en dispositivos o en la nube.

Conozca más acerca de Websense y síganos en Twitter en: twitter.com/WebsenseLatam y twitter.com/websense.

Fernando Gutiérrez

Contacto de prensa

IMS Colombia

7449985 / 3124588440

fgutierrez@imsmarketing.com

Deja un comentario

Archivado bajo Comunidades, Controversia, Denuncias, Imagen, Internet, Investigaciones, Malware, Noticias y artículos, Seguridad, Sitios Web

¿Cuál es su comentario de este artículo?

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .