BUEN DÍA AMIGOS
Y como siempre seguimos escribiendo artículos de lo que pasa en la seguridad informática y avisando como siempre de las amenazas que surgen en las redes sociales para que los no tan expertos en estos menesteres nos demos cuenta como nos atacan, tratan de engañarnos para infectar, tomar control de nuestros sistemas informáticos.
hace un día o dos avise en mi facebook de que estaban distribuyendo links maliciosos y puse la información que muestro a continuación:
Estos links al darles click toman el control de nuestro explorador el cual te lleva a una página web con el code malicioso que se parece al sitio de youtube.
nota: no le vayan a dar click ok...... por que se los traban jejejejeje .
Este contiene un archivo cifrado con unescape.
se pudo obtener el código fuente donde dependiendo el user-agent, te manda a ver diferentes paginas de publicidad.
se pudo obtener el código fuente donde dependiendo el user-agent, te manda a ver diferentes paginas de publicidad.
todo esto se los comento gracias a nuestro amigo
LAIR NULA
Que nos dio un pequeño análisis de este link malicioso.
Perooooo como dice platanito:
hay weyyyyyy y aguas con darle click a esos links ok...
nosotros iremos mas lejos en este pequeño articulo les pondré el link del código malicioso en lineas siguientes por si se animan a testearlo y ver como funciona.
inicio del script---------> cortado para que no anden haciendo cosas malas..... ;ṕ y solo explicaremos partes del codigo malicoso.
-- CABE SEÑALAR QUE PODRIAMOS PROGRAMAR COSAS MAS PELIGROSAS EN ESTE CODIGO.
-- CABE SEÑALAR QUE PODRIAMOS PROGRAMAR COSAS MAS PELIGROSAS EN ESTE CODIGO.
<Script Language='Javascript'> ---> INICIALIZA EL CODIGO JAVASCRIPT
document.write(unescape(' <script type="text/javascript"> // <![
---->aqui lo que hace es codificar con unscape
Las cadenas pueden interpretarse bien como secuencias de caracteres, bien como
líneas de comando. Un campo de aplicación, por ejemplo, es el tratamiento
de los datos enviados al servidor, o también al cliente, con el método GET. En
este caso, el script recibe los datos como una cadena adjunta (appended) a la
URL original, en la cual algunas secuencias de caracteres han de interpretarse
como caracteres especiales, como el espacio en blanco o el separador entre
variable y valor. Por ejemplo, si efectuáis una búsqueda en Altavista, veréis que
a la URL se le agregan una serie de caracteres que siguen a un signo de interrogación.
Pues bien, estos caracteres, convenientemente tratados, forman una cadena que
interroga al buscador. Los caracteres escritos en dicha notación se llaman
sequenze escape y utilizan la codificación URL
- los pares nombre=valor están separados por &;
- los espacios se sustituyen con +;
- los caracteres alfanuméricos son sustituidos por el equivalente hexadecimal precedido de %. y checa si usan android con la cabezera User_agent
- ---------------------------------------------------------------------------------
de qui en adelante analiza mediante las cabezeras que explorador web estamos usando ;P si es IPhone, Ipod, Firefox, FAcebool bot, chrome y cambia la locacion a la del archivo infectado y pues te traban...
--------------------------------------------------------------------
( (navigator.userAgent.indexOf('Android') != -1) ) {
document.locat = "https://www.ccat.edu.mx/vide-maligno/index.html";
<script language=javascript>
if(navigator.userAgent.match(/iPhone/i)
location.replace("http://www.ccat.edu.mx/video-maligno.html");
}
<body>
if (navigator['userAgent']['indexOf']('Firefox') != -1)
window['location'] = 'https://www.ccat.edu.mx/vide-maligno/index.html';
} else {
if (navigator['userAgent']['indexOf']('Facebook Bot') != -1)
window['location'] = 'http://google.com/';
} else
if (navigator['userAgent']['indexOf']('Chrome')
window['location'] = 'https://www.ccat.edu.mx/vide-maligno/index.html';
else
window['location'] = 'https://www.ccat.edu.mx/vide-maligno/index.html';
la siguiete parte del codigo fue borrada para que los scripkiddies dejen de andar copiando codigos y se pongan a jugar....
...............;p
por eso amigos no den click en links que no saben A DONDE TE LLEVAN.
y como siempre amigos los invitamos a inscribirse al grupo de facebook x.25 Hacking News
y a la certificación de seguridad informatica www.ccat.edu.mx
https://www.facebook.com/groups/1495939257358214/
Saludos
Rodolfo Hernandez Baz
Centro de Investigaciones en Seguridad Informática
www.ccat.edu.mx
Certified White Hat Professional
Gracias por la mención, profesor Rodolfo! :)
ResponderEliminar