Durante la tarde del pasado domingo, buscando diversa información por Internet, llegué a la página web de la Cámara de Comercio de Navarra, y pude observar como la mencionada web estaba “infectada” o mejor dicho había sufrido un intento de infección, ya que el atacante no consiguió su objetivo completamente. Este hecho me va a servir para ilustrar un par de técnicas maliciosas muy de moda hoy en día: Cross Site Scripting y Flash Exploiting.
No me centraré en describir cómo el atacante llego a introducir código html en el contenido de la web (supongo que con alguna técnica simple de SQLInjection o similar a través de un formulario inseguro), lo que está claro es que explotó un agujero de seguridad de la web de la cámara para colar código html en la misma:
En concreto consiguió introducir código en la zona de enlaces de la página, en la imagen anterior se ve en la barra de estado del explorador un código<script>…
El atacante no formó bien el código del ataque ya que no aparecía correctamente colocado como para que lo navegadores lo interpretaran de manera adecuada, pero aun así analicemos lo que se esconde detrás del script incluido; para eso lo descargamos de forma segura con wget:
En la descarga obtenemos varios ficheros, unos javascript y otros swf (fichero flash), que una vez enviado a virustotal para su análisis nos indica de que se trata de un exploit, que aprovecha un fallo de seguridada en Flash:
Únicamente tres de más de 20 motores antivirus fueron capaces de detectarlo y en concreto este exploit descarga una serie de ejecutables que instala en el ordenador a modo de troyanos.
El resto del código realiza diversas conexiones con lectura de coockies incluida, algo que desvela cualquier información confidencial de los usuarios con respecto a la web de la Cámara de Comercio, al establecer un ataque de tipo Cross Site Scripting: el código ejecutado lo envía la web de la Cámara por tanto es valido para los coockies de la Cámara.
Hagamos una breve lectura de todo lo anterior:
1) Objetivo del ataque: un lugar con usuarios susceptibles de manejar información potencialmente importante: empresarios, gestores, ejecutivos…
2) Contenido del ataque: un troyano, un programa que se instala en tu ordenador para espiar y captar información: claves, cuentas, correos….
Conclusión: de haber conseguido su objetivo, el atacante hubiese creado problemas a algún que otro visitante de la web de la Cámara.
Por otro lado acabo de ver que los administradores de la web ya han limpiado el código inyectado.
