martes, 27 de septiembre de 2011

MySQL.com comprometido y sirviendo malware


Mysql.com es de nuevo golpeado. Su sitio web ha sido comprometido mediante una inyección javascript (1).

El código malicioso está ofuscado y contiene un iFrame que redirecciona a los visitantes a un servidor en Alemania (2), que a su vez nos lleva a otro site donde se encuentra un exploit pack BlackHole (3).
1. http://mysql.com/common/js/s_code_remote.js?ver=20091011
2. http://falosfax.in/info/in.cgi?5&ab_iframe=1&ab_badtraffic=1&antibot_hash=489613682&ur=1&HTTP_REFERER=http://mysql.com/
3. http://truruhfhqnviaosdpruejeslsuy.cx.cc/main.php

Se trata de un Drive-by-Download donde el usuario puede infectarse con sólo visitar la página, sin necesidad de hacer clic en ningún sitio. De momento se desconoce el tipo de malware cuya tasa de detección todavía es realmente baja (un 9% en Virustotal).

También se desconoce la identidad de los atacantes, aunque en un foro underground ruso un usuario con nick ‘sourcec0de’ vende accesos a algunos de los servidores de mysql.com y sus subdominios.

Permaneceremos atentos para obtener más información al respecto. Mientras tanto, se recomienda no visitar la página de mysql.com hasta que se corrija definitivamente.
 
Fuente:http://hackplayers.blogspot.com/2011/09/mysqlcom-comprometido-y-sirviendo.html

No hay comentarios:

Publicar un comentario