Comprometido el Blog del Hacker: Twetti

Esta mañana, como casi todos los días, me disponía a ver que se cuece en el mundillo de la seguridad informática a través del blogroll en español de Hackplayers cuando de repente mi AV empezaba a cantar:


Parece que uno de los blogs más desactualizados de la lista, el Blog del Hacker, había sido comprometido a través de un supuesto y peligroso exploit drive-by download. Inmediatamente lo he quitado del blogroll (junto con Shell Security) y he echado un vistazo rápido para confirmarlo.

Primero
al abrir la web con nuestro navegador (en una máquina virtual por supuesto), el AV indica también la presencia en el javascript ' http://www.blogdelhacker.com/wp-content/themes/hal/js/sweetTitles.js' del viejo NeoSploit Exploit Kit.


Después salta a la vista un sospechoso script en el código fuente:


A continuación he probado el nuevo analizador de URLs de Virustotal con unos resultados reveladores: http://www.virustotal.com/file-scan/report.html?id=e485fa232fb929cc7d57ea36a72c8a0016865a030ae1363bf09ce00aeb3fd95a-1283599346.

Se trata de un downloader denomidado Twetti, muy curioso por su algoritmo de funcionamiento: hace una solicitud al API cuyo resultado son datos de los "trends", es decir, los temas más comentados en Twitter. De los datos obtenidos se forma un nombre de dominio seudoaleatorio que los delincuentes ya han registrado con tiempo, usando un algoritmo similar, al cual se conduce con disimulo. En este dominio se encuentra la parte maliciosa, ya sean exploits PDF o ficheros ejecutables. De esta manera, los enlaces maliciosos y la redirección hacia los mismos se hace en tiempo real, por medio de un intermediario que en este caso es Twitter.

Un análisis con el sandbox online Wepawet (Anubis está hoy saturado) confirma las sospechas.

Actualmente la redirección apunta a http://effoixgeni.com/ld/prox/, que por otra parte parece estar (por ahora) fuera de línea.

En fin, sin duda se trata de un curioso caso de infección del que os queríamos avisar. Esperamos que los administradores del fantástico blog lo solucionen pronto, y continuamos con la esperanza de que, algún día, el Blog del Hacker vuelva a la carga con nuevos contenidos.

3 comentarios :

  1. Ayer tuvieron un ataque Drive-By Download en OpenSecurity.es. Google indexó el blog como peligroso y Firefox bloqueó el acceso.

    ResponderEliminar
  2. Disponible ya el informe de Anubis: http://anubis.iseclab.org/?action=result&task_id=1e65b5db31cd72ba4e17d71faa764a4c4&format=html

    ResponderEliminar
  3. Thanks for sharing this informative blog.. Your information related to hacking is really useful for me. Keep posting..

    Regards..
    Hacking Course in Chennai

    ResponderEliminar