Constantemente están ocurriendo ataques a sitios web, sobre todo a sitos del gobierno de chile. Considerando la cantidad de sistemas legacy que existen, la probabilidad de efectividad es alta. Por este motivo, es que hace tiempo he estado investigando sobre este tipo de ataques y he estado informando de forma constante al equipo de respuesta ante incidentes (CSIRT).
En esta oportunidad, debo presentar un ataque que afecta al sitio de "Chile Crece Contigo" del Ministerio de Desarrollo Social.
El día 10 de mayo de 2018 encontré un archivo potencialmente malicioso que se alojaba en el directorio de uploads de wordpress, de acuerdo a la estructura de directorios se deduce que el programa malicioso está almacenado al menos desde el año 2013. El día 11 de mayo de 2018 informé al CSIRT sobre este hallazgo, quienes acusaron recibo e informaron a los responsables.
Actualmente, el sitio malicioso continua siendo accesible mediante la URL http://www.crececontigo.gob.cl/storage/media/2013/11/abdou/
Como se puede observar, corresponde a un mini-sistema para envio de correos, probablemente utilizado para enviar spam.
Al ver el código fuente, podemos ver un código javascript ofuscado con urlencode.
Al decodificar los caracteres, podemos ver un html limpio con la leyenda
This Tool Has Been Made By The Moroccan White Hacker MR. Big Cave For more question contact us in the site Tool4Spam.Com Visit US and get more private tool for free
Y finalmente se puede comprobar que corresponde a un mailer utilizado para el envio de spam.
Código completo ofuscado (urlencode)
�PRE0
Código sin ofuscar
PRE1
ACTUALIZADO: 18 Julio de 2018
La institución responsable ha dado de baja el sistema. Nuevamente de forma reactiva, despues que se hace publico.
Comentarios (1)