MySQL.com comprometido y sirviendo malware

Mysql.com es de nuevo golpeado. Su sitio web ha sido comprometido mediante una inyección javascript (1).

El código malicioso está ofuscado y contiene un iFrame que redirecciona a los visitantes a un servidor en Alemania (2), que a su vez nos lleva a otro site donde se encuentra un exploit pack BlackHole (3).

1. http://mysql.com/common/js/s_code_remote.js?ver=20091011
2. http://falosfax.in/info/in.cgi?5&ab_iframe=1&ab_badtraffic=1&antibot_hash=489613682&ur=1&HTTP_REFERER=http://mysql.com/
3. http://truruhfhqnviaosdpruejeslsuy.cx.cc/main.php


Se trata de un Drive-by-Download donde el usuario puede infectarse con sólo visitar la página, sin necesidad de hacer clic en ningún sitio. De momento se desconoce el tipo de malware cuya tasa de detección todavía es realmente baja (un 9% en Virustotal).

También se desconoce la identidad de los atacantes, aunque en un foro underground ruso un usuario con nick ‘sourcec0de’ vende accesos a algunos de los servidores de mysql.com y sus subdominios.

Permaneceremos atentos para obtener más información al respecto. Mientras tanto, se recomienda no visitar la página de mysql.com hasta que se corrija definitivamente.

1 comentarios :

  1. Aquí tenemos el video que ha publicado Armorize en YouTube:

    http://www.youtube.com/watch?v=J7prODlHniU

    ResponderEliminar