viernes, 3 de junio de 2011

PDF spam con redireccionamiento en sitios .edu







En la siguiente captura se puede ver uno de los documentos spam cargado en el navegador, su contenido sólo son palabras claves relacionadas con productos farmacéuticos y se incluye un enlace:


pdf-spamPDF spam sobre productos farmacéuticos

Al hacer clic se termina en una farmacia online falsa que se encuentra alojada en un servidor de Ucrania bajo un dominio de India (.in):


farmacia-falsaFarmacia online falsa

El PDF spam se encuentra alojado en el servidor de una universidad de Estados Unidos, parece que olvidaron actualizar el software de su Wiki y se les llenó de spam:


spam-pdf-eduArchivos PDF en el sitio infectado

En algunos PDF es el usuario el que debe hacer clic en los enlaces, pero en otros agregaron código JavaScript ofuscado para realizar redirecciones, es decir que al hacer clic en el resultado de Google se podría terminar automáticamente en la página de la farmacia falsa, esto dependerá del lector de archivos que se utilice y si tiene habilitada o no la lectura de JavaScript.

Si bien los antivirus tienen la capacidad de detectar este tipo de códigos, no siempre lo hacen, un documento al azar subido recién a VirusTotal fue detectado por 4 de 42 motores lo cual es una tasa bastante baja.

Imagina lo mismo pero aprovechando otras palabras claves como nombres de libros famosos y redirecciones a sitios que infectan... hay mucha gente que busca PDFs en internet y hay muchos buscadores de PDFs que sólo muestran resultados de Google! Realmente pueden estar haciendo destrozos si es que ya no los están haciendo...

Pero los PDF spam no son lo único que hay en este sitio vulnerado, también me encontré con páginas que enlazan atiendas fraudulentas de software (las famosas tiendas OEM que se encuentran hasta en el sitio de la Nasa!):


spam-oem-eduSpam de software OEM

Al hacer clic se termina en una tienda fraudulenta que vende software pirateado como si fuera original:


tienda-falsa-oemSitio fraudulento que vende software

La lista de sitios web de alojamiento de spam archivos PDF es muy similar a lo que me han informado antes. Esto incluye los sitios web de la universidad, los sitios gubernamentales, y las páginas wiki, como las siguientes:
  • hxxp: / / forum.wiki.usfca.edu/file/view/file10.pdf
  • hxxp: / / www.lapspecs.com/wiki/_media/http:cr43.pdf 
  • hxxp: / / www.dublincore.biz/accessibilitywiki/ImplementersNews?action=AttachFile&do=get&target=dub14.pdf
  • hxxp: / / wikiglobe.org/en/images/c/c9/Texas-veterans-home-loan.pdf
  • hxxp: / / wiki.solusvm.com/images/c/c6/Uk-cash-loans.pdf
  • hxxp: / / nspcommunity.net/wiki/images/e/e8/Small-loan-business.pdf
  • hxxp: / / wiki.fossasia.org/images/6/67/Ship-loans.pdf
  • hxxp: / vuas.net / / ~ dpmccann / mw / images / real-estate-hipotecas loans.pdf












50% all wall ovens


70% off Mattress Sets (New Sealy purchases 60% off)
Publicado por

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)