Desenmascara.me

Luxury & Fashion brands; be aware of the online counterfeiting!: desenmascara.me

miércoles, 1 de octubre de 2014

Elplural.com distribuyendo software malicioso

Actualización 1 (5.10.14: 19:45): Que todavía siga saliendo el aviso de twitter de sitio malicioso, significa que aunque elplural.com ya esté limpio de badware, no se han preocupado de seguir el procedimiento de twitter, y/o twitter todavía considera que es peligroso.



A través de meneame.net voy a leer una de las noticias que enlaza al diario elplural.com y me encuentro con el aviso "el sitio al que accedes contiene software malicioso". Compruebo en twitter y veo que hace pocos minutos está ocurriendo.


aunque algunos usuarios se lo toman con algo de escepticismo:


Obviamente el aviso también sale en las búsquedas de Google


En twitter


Y accediendo a traves de Firefox (e IP diferente, fuera de España), cuyo motor de Seguridad (SafeBrowsing) es el mismo que el de Chrome:



Este es el informe de Google: actividad sospechosa 29 veces en los ultimos 3 meses?, vaya eso si que es ser activo !!



Bueno, son unas cuantas pruebas para cerciorarme que en realidad algo esta ocurriendo en el diario online.


Reviso el sitio web a través de desenmascara.me y observo los siguientes puntos a tener en cuenta.

  • El primero de ellos es el valor de concienciacion: 70 en este caso (con 20 o mas se considera que un sitio web esta concienciado con la seguridad). En mi experiencia con este servicio web, sitios web con un valor de 20 o menor son los que mas posibilidades tienen de ser victimas de badware, pero no siempre es asi. Veamos en mas detalle los demas puntos.
  • La versión de Wordpress: [WordPress 3.2.1,WordPress 3.5 tiene más de un año. La última versión estable 4.0 incluye varias correciones de Seguridad a través de las versiones anteriores pero posteriores a las del diario online.
  • En el apartado iframes, observamos varios de ellos que aparentemente no están relacionados ya que apuntan a diferentes dominios que no estan en la lista negra de SAfeBrowsing.
  • En el apartado scripts vemos varias referencias a la red de publicidad: https://ads.elplural.com/www/delivery/ajs.php 
  • En el momento de escribir este artículo de forma apresurada, dicho archivo contiene lo siguiente (lo dejo apuntado para referencia):

var OX_754bdd64 = '';



document.write(OX_754bdd64);



  • Jquery, concretamente la versión JQuery[1.8.3 la tienen alojada en local. Una buena práctica teniendo en cuenta las últimas noticias.
  • El sitio está alojado en CloudFlare, pero la IP no parece tener un gran historial malicioso. Aun asi, no tienen correctamente configurado todos los registros y podemos observar alguna IP real donde alojan el servicio.
Este es uno de los casos interesantes para el servicio web desenmascara.me. El sitio web mostraba un valor de concienciación de 70, bastante bien en teoría, en base a parámetros como estar alojado en cloudflare y signos de hardening como la cabecera HttpOnly. Exactamente este es el mensaje que muestra el servicio web desenmascara.me (versión ingles):

Review iframe as caution measure. Additional secure policy detected. No SSL version info. Many metadata extracted. Old Wordpress, please consider updating. Infrastructure of some of the big-players. Website built with Wordpress....

Ultimamente estoy viendo más sitios comprometidos que casualmente tienen versiones no actualizadas de Wordpress. Parece que tener un wordpress desactualizado hoy en día tiene su riesgo. El valor de concienciación en este caso tendría que haber sido menor por ello, y ademas por la NO correcta configuracion de cloudflare. Hora de actualizar el mini-algoritmo del valor de concienciación. 

Y por supuesto, un diario online como elplural.com comprometido va directo a pwnedwebsites.com

No hay comentarios:

Publicar un comentario

Trata a los demás como te gustaría ser tratado.