En el día de ayer, un individuos bajo el sobrenombre «KKR» habrían atacado a un grupo sitios gubernamentales argentinos y aprovechado la ocasión para protestar en contra del nuevo impuesto tecnológico, entre otras cosas.

Los siguientes dominios se han visto afectados por este ataque:

www.buenosaires.gob.ar
www.buenosaires.gov.ar
www.usigobierno.catamarca.gov.ar
www.boletinoficial.catamarca.g…
autoridades.catamarca.gov.ar
www.tramites.catamarca.gov.ar
www.cultura.catamarca.gov.ar
www.informatica.catamarca.gov.ar
www.senado.catamarca.gov.ar
www.meccyt.catamarca.gov.ar
www.turismocatamarca.gov.ar
www.seguridadinformatica.catam…
www.salud.catamarca.gov.ar
www.registroinmobiliario.catam…
www.propap.jujuy.gov.ar
www.mdsjujuy.gov.ar
www.issp.gov.ar
www.proveedores.jujuy.gov.ar
pet.jujuy.gov.ar
proteccioncivil.jujuy.gov.ar
www.municipios.jujuy.gov.ar
www.policiadejujuy.gov.ar
trabajo.jujuy.gov.ar
www.vialidad.jujuy.gov.ar
www.registroinmobiliario.catamarca.gov.ar
www.trabajo.jujuy.gov.ar
www.hacienda.jujuy.gov.ar
www.turismo.jujuy.gov.ar
www.vialidad.jujuy.gov.ar
www.hacienda.catamarca.gov.ar
www.agro.misiones.gov.ar
www.sanjavier.misiones.gov.ar
www.ccpm.misiones.gov.ar
www.ips.misiones.gov.ar
www.softwarelibre.misiones.gov.ar
www.gobierno.misiones.gov.ar
www.turismo.misiones.gov.ar
www.policia.misiones.gov.ar
www.cedit.misiones.gov.ar

La única duda que me queda al ver el código fuente HTML de los sitios atacados es ¿Quién es Esteban?.

<object width="0" height="0"><param name="movie" value="http://www.youtube.com/v/ebjM1uhi464&amp;hl=es&amp;fs=1&amp;autoplay=1"><param name="allowFullScreen" value="true"><param name="allowscriptaccess" value="always"><embed src="esteban_files/ebjM1uhi464hlesfs1autoplay1.swf" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="0" height="0"></object>

Días atrás un adolescente que se hace llamar Mikkey Mooney saltaba a la ciberfama luego de propagar un gusano vía Twitter.com aprovechándose de una vulnerabilidad (XSS) en dicha plataforma de microblogging. Este gusano fue utilizado principalmente para promocionar uno de sus sitios y luego en sus versiones siguiente, simplemente publicaba mensajes solicitando que Twitter repare el error y auto promocionarse.

Twitter Worm

Hasta ahí la noticia que muchos habíamos escuchado, ahora la novedad es que al parecer algunas personas se molestaron por su actitud y se hicieron con los datos de sus cuentas de Facebook, Gmail, Godaddy, GitHub, Skype, AIM, DreamHost y los datos de sus webs, con lo que el contenido de StalkDaily, la web promocionada con la primer versión del gusano, también fue publicado.
Leer más →

WebAir es una empresa de web hosting que, si bien cumple con las «tres B» (Bueno, Bonito, Barato) se queda muy atrás en lo que concierne a seguridad de sus servidores. Es por eso que no es raro escuchar a sus usuarios quejarse de haber sido «hackeados» o que sus sitios ahora se encuentran propagando malware (virus) o están siendo utilizados en algún tipo de estafa online.

Yuu, un amigo que aloja sus sitios y algunos de sus clientes, se encontró un día con que un grupo de jóvenes brasileros estaban usando uno de sus dominios para robar información de usuarios de Orkut y los bancos Caixa Econômica Federal y Bradesco.

Los atacantes modificaron los archivos index (php, html, etc.) agregando una porción de código Javascript que intenta explotar la vulnerabilidad en Microsoft Data Access Components (MDAC) y descargar un troyano empaquetado con Themida. Agregaron además, tres carpetas con archivos que simulan ser la pagina de Orkut (red social MUY popular en Brasil), Caixa Federal, Bradesco y algunas herramientas en PHP (c99shell, r57, etc.) comúnmente utilizadas para cometer este tipo de travesuras. En todos estos casos los usuarios fueron redirigidos a dichas webs haciendo uso del SPAM.
Leer más →