Sitios web hackeados del Tesoro de EEUU sirven malware a los visitantes


Actualizado: Los sitios web del Departamento del Tesoro de los EEUU están redirigiendo a los visitantes a sitios web que intentan instalar malware en sus PCs, advirtió el lunes un investigador de seguridad.

La infección oculta un iframe invisible en bep.treas.gov, moneyfactory.gov, y bep.gov que invocan scripts maliciosos de grepad.com, informó a The Register, Roger Thompson, oficial investigador en jefe de AVG Technologies. El código descubierto a última hora del domingo y estaba activo el momento de escribirse esto, cerca de 12 horas después.

Para cubrir sus huellas, los malhechores tras este compromiso del sitio, lo arreglaron de modo que sólo atacara direcciones IP de quienes no habían visitado aún los sitios web del Tesoro. Eso hace más difícil a los hackers de sombrero blanco y agentes de la ley el rastrear la explotación. Efectivamente, Thompson informó inicialmente que el problema había sido arreglado hasta que descubrió que los sitios simplemente estaban alteando las PCs del laboratorio que ya habían encontrado el ataque.

Lo más probable es que el ataque esté relacionado con infecciones masivas que hace dos semanas sacudieron a cientos de sitios alojados en Network Solutions y GoDaddy, dijo Dean De Beer, fundador y CTO de la consultora de seguridad Zero(day) Solutions.

Hizo la evaluación basado en las observación que los sitios comprometidos del Tesoro están alojados en Network Solutions y el propietario de grepad.com es también el propietario del registro de la mayoría de los sitios web usados en ataques anteriores.

"Hay una muy alta probabilidad que esta sea la misma persona," dijo De Beer. "Lo único que está cambiando son los dominios."

Antes, Thompson especulaba que el ataque podría ser el resultado de alguien explotando una vulnerabilidad de inyección SQL en los sitios del Tesoro. Después de investigar aquella posibilidad, De Beer dijo que era poco probable porque los sitios hackeados del Tesoro contenían páginas HTML estáticas que nos son susceptibles de tales explotaciones.

Representantes para los medios en el Departamento del Tesoro no devolvieron las llamadas en busca de comentarios.

Suerte ahí fuera


Traducción: Raúl Batista - Segu-Info
Autor: Dan Goodin
Fuente: The Register