Todos os posts tagados eleonore

Web kits de malware com falhas web

A BBC publicou uma notícia onde refere que, segundo especialistas de segurança que obtiveram alguns kits de malware, muitos estariam vulneráveis a ataques de SQL Injection, XSS, entre outros.

Pessoalmente, já tive oportunidade de observar na diagonal um dos kits (versão desactualizada do Eleonore) e verifiquei que, numa das secções da aplicação, gravava o HTTP_REFERER do utilizador infectado. Não existia qualquer filtro nesta variável gravada e portanto bastante susceptível a um ataque XSS com um pequeno script de exaustão de memoria ou, quem sabe, apenas uma mensagem sugestiva ao utilizador malicioso.

Estes web kits quando programados, os seus web developers não estão minimamente preocupados com as falhas web da sua aplicação. Quanto mais rápido atingir o objectivo, que pode ir desde obtenção de dados confidenciais ou apenas de armazenamento de informação, melhor.

Podem consultar mais informação no ZDNet.

Nova campanha de phishing destinada a jogadores dos jogos da Zynga

Enquanto estou a escrever um artigo relacionado com este tema, deparo-me com novas informações no blogue Malware Intelligence.
Um ataque de phishing está a dar dores de cabeça a muitos jogadores da Zynga. Isto porque este ataque está usar imagem e a clonar cenários de jogos reais desta empresa de programação de jogos virtuais para redes sociais (Facebook, Myspace, Tagged).

Nos jogos mais conhecidos da Zynga podemos encontrar o Farmville, Mafia Wars, Zynga Poker, Cafe World, entre outros.


Alguns dos domínios envolvidos nesta campanha de phishing:

  • claimpokerbonus.t35.com/zynga_poker/
  • claimpokerbonus.t35.com/zynga%20bonus/login_failed.php
  • claimpokerbonus.t35.com/zynga%20poker/login_failed.php
  • claimpokerbonus.t35.com/zynga/chip_bonus/login_failed.php
  • claimpokerbonus.t35.com/zynga_bonus/login_failed.php
  • claimpokerbonus.t35.com/zynga/poker_chips/login_failed.php
  • claimpokerbonus.t35.com/zynga/poker_bonus/login_failed.php
  • claimpokerbonus.t35.com/zynga/claim_poker/login_failed.php
  • claimpokerbonus.t35.com/zynga/claim_bonus/login_failed.php
  • claimpokerbonus.t35.com/zynga/chips_bonus/login_failed.php
  • claimpokerbonus.t35.com/games_bonuschips/zynga_bonus/login_failed.htm
  • claimpokerbonus.t35.com/games_bonuschips/claim_bonus/login_failed.htm
  • claimpokerbonus.t35.com/games_bonuschips/login_failed.htm
  • claimpokerbonus.t35.com/poker-bonus/login_failed.htm
  • claimpokerbonus.t35.com/poker_chipclaim/login_failed.htm
  • claimpokerbonus.t35.com/zynga-dailygift/login_failed.htm
  • claimpokerbonus.t35.com/zynga-game-bonus/login_failed.htm
  • claimpokerbonus.t35.com/game_lottery/login_failed.htm
  • claimpokerbonus.t35.com/game_bonus/login_failed.htm
  • claimpokerbonus.t35.com/claim_poker/login_failed.php
  • claimpokerbonus.t35.com/claim%20poker/login-failed.html
  • claimpokerbonus.t35.com/claim%20bonus/login-failed.html
  • claimpokerbonus.t35.com/Bonus/login_failed.php
  • claimpokerbonus.t35.com/Bonus/games/login_failed.php
  • claimpokerbonus.t35.com/Bonus/claim_poker/login_failed.php
  • claimpokerbonus.t35.com/Bonus/claim_chips/login_failed.php

Segundo a mesma fonte, as informações de autenticação das vítimas são armazenadas num ficheiro texto sem qualquer encriptação, ou seja, qualquer outro utilizador pode visualizar estes dados sem mesmo estar directamente envolvido no phishing.

Os exploits usados neste ataque estão incluídos no pacote russo Eleonore Exploit Pack (v1.2). Está a venda no cibercrime por $700 e alguns exploits que acompanham este pacote passam ao lado de muitos softwares antivírus.

NR: Na altura da publicação deste artigo muitos dos endereços usados para este phishing continuam activos.