Hackers ocultan inicios de sesion de Shell web en paginas de error HTTP falsas

Los distribuidores de malware, hackers y estafadores de phishing siguen utilizando la práctica de ocultar formularios de inicio de sesión para sus shells web en falsos documentos de error HTTP

Estas páginas pretenden ser errores HTTP como 404 Not Found o Forbidden, mientras que en realidad son páginas de inicio de sesión que permiten a un atacante acceder a un shell web para emitir comandos en el servidor.

Si bien esta práctica no es nueva, el experto en phishing e investigador de seguridad nullcookies ha notado un aumento en el uso de este tipo de páginas de error falso para ocultar shells. Estos shells web permiten a los piratas informáticos cargar malware, secuencias de phishing u otro software.

"La técnica no es nueva". "Pero lo que me parece notable es la frecuencia cada vez mayor de ellos y cómo es fácil que alguien los extrañe a menos que estén familiarizados con la técnica".

Sin embargo, si profundizamos más y observamos el origen de la página, puede ver una página muy diferente al acecho en el fondo. La fuente muestra que hay un formulario de inicio de sesión en la página, pero está oculto mediante CSS que coloca la solicitud de inicio de sesión en la parte inferior de la página y elimina la barra de desplazamiento para que no piense en desplazarse hacia abajo para verla.

Si usa la tecla de página hacia abajo, el formulario de inicio de sesión se vuelve rápidamente visible.

Otra página que nos enviaron usa el mensaje de error "Prohibido". Al igual que la página 404 falsa, esto también oculta un formulario de inicio de sesión, pero una vez más los atacantes usan métodos creativos para ocultar el campo de entrada.

En esta página, el atacante oculta el campo de formulario por completo, por lo que incluso si intenta desplazarse hacia abajo, no lo verá. En su lugar, debe acceder al campo de formulario al saber exactamente dónde está o al tabular en él.

Campo de contraseña oculta

Según nullcookies, los shells web que se esconden detrás de estas páginas falsas de error presentan un peligro particular para los administradores del sistema que pueden limpiar una instalación de phishing, pero no se dan cuenta de que otra página del sitio esconde un shell web que podría permitir a un atacante reinfectar fácilmente el sitio.

"Algunos Guy at Some Company se perderán esos paneles porque, en primer lugar, no se darán cuenta de que hay algo que eliminar", le dijeron nullcookies a Bleeping Computer. "Una de las razones por las que algunos phishing siguen apareciendo incluso después de que el webmaster o el que elimina los phishing intentan bloquear todo.

Dicho esto, si alguna vez recibe informes de que su sitio está en peligro y lo investiga, no asuma automáticamente que una página de error es legítima e investigue más detenidamente examinando la fuente.

Fecha actualización el 2021-07-25. Fecha publicación el 2018-07-25. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
hackers