Contador de tweets abandonado con script malicioso
Cuando el propietario de un sitio utiliza un script de terceros en su sitio, es necesario monitorear si ese script ha sido abandonado o no.
De lo contrario, es posible que aparezcan malos actores y reemplace el script por uno malicioso que luego se mostrará a sus visitantes.
Esto es exactamente lo que sucedió con un contador de Tweet llamado New Share Counts que se abandonó / suspendió en julio de 2018. Cuando se suspendió el servicio, el desarrollador publicó un mensaje en su dominio newsharecounts.com indicando que el servicio estaba muerto y dio recomendaciones para otros Servicios a utilizar.
Según una investigación realizada por Sucuri, más de 800 sitios no recibieron el mensaje y continuaron incrustando el script abandonado de New Share Counts en su sitio desde un cubo S3 en http: //newsharecounts.s3-us-west-2.amazonaws [.] com / nsc.js. Este script luego cargó otro script de newsharecounts.com, que ya no era accesible, por lo que no tuvo ningún efecto en los sitios que lo usaron.
Esto es hasta que alguien tomó el control de este grupo de S3 y reemplazó el script nsc.js con una versión maliciosa.
La investigación realizada por BleepingComputer muestra que la cubeta S3 se canceló y, un día después, alguien registró una nueva cubeta con el mismo nombre y cargó un script malicioso nsc.js.
Esto provocó que este script malicioso fuera utilizado por los 800 sitios que aún intentaban cargar el servicio original de New Share Counts.
Al mirar las instantáneas en Archive.org, BleepingComputer pudo armar una imagen de lo que sucedió:
- El 4 de agosto de 2018 mostraba el script legítimo de New Share Counts.
- El 5 de agosto de 2018, se cerró el grupo AWS S3 y ya no se pudo acceder al script abandonado.
- El 3 de octubre se canceló el cubo AWS S3.
- El 4 de octubre, un mal actor registró un nuevo grupo AWS S3 con el mismo nombre de http: //newsharecounts.s3-us-west-2.amazonaws [.] Com y cargó una versión maliciosa del script nsc.js.
- Script malicioso redirigió a los visitantes a sitios de estafa
La investigación de Sucuri indica que el script malicioso, que se muestra a continuación, redirigirá al usuario a un sitio de estafa cuando intente presionar el botón Atrás.
Ofuscado malicioso script
"Cuando el usuario carga la página, se agrega un controlador de eventos maliciosos. Este controlador espera hasta que el usuario pulsa el botón " Atrás " en su dispositivo o intenta navegar a una página anterior", afirmó la investigación de Sucuri . "Luego dispara un evento, lo que hace que el navegador se abra al siguiente destino: m.richalsu [.] Mobi /? Utm_medium = 0e0597838a322711594e7fff060c21106f1795d8 & utm_campaign = a-back-back-2-1 = Esto dirige al usuario a una página de estafa, en lugar de devolverle una copia de seguridad".
Puede ver la secuencia de comandos deoffuscated a continuación que redirige a un usuario al sitio m.richalsu [.] Mobi.
Cuando el usuario sea redirigido, lo llevarán a un sitio de estafa como el que se encuentra a continuación, en el que se afirma que supuestamente ganó un Macbook, iPhone, Samsung Galaxy o iPad y que debe proporcionar información personal para recibir el premio.
No hace falta decir que si ve un sitio como el anterior, nunca debe ingresar su información personal. Esta información podría utilizarse para el robo de identidad u otros fines no deseados.
Protegerse de los secuestros de secuencias de comandos
Si bien la ejecución de scripts externos desde CDN o sitios de terceros tiene sus ventajas, también abre los sitios a actividades maliciosas. Esto se debe a que el script no está bajo su control y el desarrollador o un atacante que lo comprometa pueden agregar código malicioso al script sin su conocimiento.
Una forma de evitar esto es usar una característica llamada integridad de sub-recurso (SRI). SRI le permite especificar un hash para el script externo que desea cargar y si ese script no coincide con el hash, el navegador no lo cargará.