Según un estudio realizado por la empresa Finjan en su boletín mensual » Página maliciosa del Més», se localizó un sitio de alojamiento Web sospechoso, con el nombre: meoryprof.info
Tras una investigación limitada de ese dominio se encontraron dos datos de interés:
1. Se encontró una aplicación autónoma en el backend del servidor malicioso,
que permite la comercialización de la información robada.
2. La metodología empleada para los ataques soporta múltiples «usuarios» (atacantes), imitando un modelo SaaS (Software as a Service – Software como Servicio).
En el backend del servidor atacante, se encontró una aplicación casi imperceptible utilizada para el uso abusivo y la venta de las credenciales de cuentas FTP robadas.
Esta aplicación permite al administrador del servidor manejar la informacion de credenciales FTP para inyectar automáticamente etiquetas iframe en cualquier página web que encuentre entre las cuentas FTP comprometidas.
La aplicación utiliza un interfaz comercial para calificar la calidad de las cuentas robadas en términos del país de residencia (del servidor FTP en el cual la cuenta permite hacer login) y de acuerdo con el Google PageRankTM del sitio comprometido.
Esta información le permite al administrador del servidor poner una etiqueta de precio en las credenciales FTP comprometidas para su reventa, o enfocar el ataque en sitios más prominentes.
Esta herramienta incluye un interfaz de administración web que requiere un login para tener acceso a las diferentes funcionalidades que ofrece.
Se descubrió una base de datos de más de 8.700 de esas credenciales comprometidas de cuentas FTP (nombre de usuario, contraseña y dirección del servidor).
Entre las cuentas robadas hay algunas de organizaciones muy respetables, tales como entidades gubernamentales, servicios financieros, proveedores punteros en la industria tecnológica e incluso importantes proveedores en el campo de la seguridad.
Departamento de Comunicación
Áudea Seguridad de la Información