Para que esta respuesta sea más general, eliminé los dominios reales: los enlaces tienden a caducar en breve cuando el administrador del sitio afectado responde al problema.
Tengo curiosidad por este caso específico. - curl
'ing - aparentemente inútil - javascript ofuscado
Este http://example.com/administrator/components/com_falang/inferentialj.html
puede verse como un punto de entrada. Contiene un JavaScript ofuscado aparentemente inofensivo que no per se contiene nada directamente malicioso. Muchos de estos intentan parecerse a un componente o complemento de CMS completamente normal, y algunos incluso se activan solo en ciertas condiciones, como cuando alguien visita el sitio por primera vez. Todo esto es para la supervivencia: para ocultarse del administrador del sitio el mayor tiempo posible. El único propósito del punto de entrada puede ser redirigir al usuario a otro lugar, como es el caso ahora.
Lo que suceda a continuación también puede variar según las condiciones, para complicar la investigación. El siguiente sitio puede configurarse para proporcionar la carga útil real solo cuando un navegador real accede a él, o solo si el agente de usuario del navegador coincide con algo que podría ser explotado. Puede dar diferentes contenidos cuando el agente de usuario es, por ejemplo. curl/7.52.1
, por lo que puede resultar útil ofuscar al agente de usuario usando curl -A
. La siguiente URL http://example.net/?s=27012018&a=401336&c=cpcdiet
da una respuesta vacía a curl
, mientras que Google Chrome obtiene una nueva redirección HTTP:
Location: http://example.net/all/gcqs/cpc?bhu=CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d
que tiene el siguiente contenido (sangría agregada para facilitar la lectura):
<link rel="stylesheet"
href="/assets/CWpXnMGxogFTuYGF1JYCW2zLUa3SvtaoyYB9d/theme_1pgoz4.css?CID=411298"
type="text/css">
<link rel="dns-prefetch"
href="http://203.0.113.61.d.example.org">
<script>
window.location.replace("http://pharmacy-site.example.org");
donde
- la URL
stylesheet
tiene solo un CSS de marcador de posición que contiene solo /*...Empty theme...*/
- la URL
dns-prefetch
conduce actualmente a un NXDOMAIN
-
script
finalmente redirige a un sitio titulado Tienda en línea de farmacias , que vende Viagra.
La ubicación final es un dominio registrado a una persona privada de Rusia; alta probabilidad de estafa.
¿A qué posibles fallas de seguridad podría haber estado expuesto simplemente al seleccionar un enlace desconocido y no hacer nada más?
Esto tiene un gran potencial para ser perjudicial en general, pero depende de cómo reacciona su navegador y su vulnerabilidad está dirigida contra una vulnerabilidad en este entorno en particular.
Esta investigación reveló que podrías haber perdido dinero al pedir Viagra en un sitio de farmacia (probablemente falso), pero también podría haber sido peor.