Tal vez la tercera vez no necesariamente es la vencida para el sitio del gobierno brasileño correspondiente a la Prefeitura Municipal de Esperança, cuando reportó ser víctima de un nuevo compromiso. Se dice que esta es la tercera ocasión en la que el sitio ha sido atacado por los criminales cibernéticos en sólo dos meses y que lo han utilizado para realizar actividades cibercriminales a través de él. Otros ataques reportados con anterioridad lograron que se hosteara en el sitio contenido malicioso diseñado para utilizarse en una serie de ataques de phishing. En uno de estos ataques también se utilizó el sitio para hostear malware drive-by que se instalaba en el sistema de las víctimas desprevenidas.
El ataque más reciente que se reportó la semana pasada utiliza un kit de phishing que es capaz de robar las credenciales de las cuentas de correo web. Si bien el kit tiene diferentes variaciones, la página de phishing muestra el mismo mensaje de error en la pantalla del usuario, incluso después de que se escribieran las credenciales correctas. Éstas se envían entonces al cibercriminal de manera remota. Las credenciales de correo electrónico, que los estafadores atacan normalmente, se utilizan a menudo para comprometer otras cuentas asociadas con ellas en diferentes plataformas y canales.
En diciembre pasado se lanzó la primera de una serie de ataques que utilizaban contenido que volvía vulnerable al sitio, hosteando así un ataque de phishing dirigido a los clientes del banco Wells Fargo. Si bien se logró eliminar el contenido malicioso, el sitio fue atacado una vez más en enero por otro esquema de phishing dirigido a los clientes de PayPal. El segundo esquema no sólo robaba las credenciales de PayPal y la información bancaria, sino que también intentaba inyectar malware drive-by usando iframes ocultos.
Debido a que el sitio mencionado se ha comprometido de manera recurrente, las autoridades de seguridad y de inteligencia cibernética consideran que el sitio contiene un enorme hueco de seguridad que aún sigue sin solucionarse. Esto les facilita a los atacantes cargar remotamente contenido al servidor web.
Otros investigadores opinan que la cantidad de ataques lanzados al sitio podría atribuirse a una versión vulnerable de WordPress (4.0.9) que se utiliza para hostear y gestionar contenido. Por su parte WordPress señala en un reporte separado que las versiones anteriores a su lanzamiento más reciente (4.4.1) no reciben mantenimiento y no recomiendan su uso. También se informó que debido a que el sitio utiliza una plataforma de hosteo compartido, podría ser un factor de riesgo. Actualmente son más de 70 los sitios web que están utilizando la misma dirección IP que utiliza la Prefeitura Municipal de Esperança, por consiguiente, cualquier vulnerabilidad que exista en otros sitios que no pertenezcan al gobierno podría ser fundamental para realizar un ataque al sitio de esta prefectura.
Leave a Reply