El sitio de Jamie Oliver ofreció recetas con Malware

Compartir nota:

Los especialistas en Seguridad Informática del Websense Security Labs detectaron actividad de malware en el sitio web oficial de la celebridad de la cocina en el Reino Unido Jamie Oliver. El sitio jamieoliver.com fue comprometido por una inyección directa de código que ejecuta contenido malicioso.

Con un ranking Alexa de 5280 a nivel global y 519 en el Reino Unido, el sitio es un blanco perfecto para los actores maliciosos. Esto se comprobó en el Pancake Day cuando los gourmets de todo el mundo buscaban deliciosas recetas. El uso de una inyección directa puede inundar ciertos anuncios con malware para su distribución.

“La búsqueda de la mezcla perfecta para panqueques el martes de Carnaval podría haber dado lugar a que el chef favorito tuviera la receta ideal. Los autores de malware quieren llegar a más víctimas desprevenidas y sólo necesitan alojar por un breve momento su código en estos sitios populares para capturar grandes volúmenes y donde los webmasters no están preparados. Si los usuarios finales navegan en dichos sitios, las empresas deben asegurarse de que tienen la receta perfecta para detectar los kits de malware y exploits conocidos, además de combinarlos con análisis en tiempo real para asegurar que las amenazas alojadas sean detenidas”, dijo Carl Leonard, Analista Principal de Seguridad de Websense.

La página comprometida se observó como hxxp://www.jamieoliver.com/recipes/. Una búsqueda rápida de Jamie Oliver en Google reveló que es el segundo resultado devuelto. Esta página recibe una llamada a un archivo JS que puede inyectarse o modificarse.

El archivo disfrazado como un archivo JS legítimo fue observado como hospedado y redireccionaba el contenido. Investigadores de Malwarebytes analizaron su contenido y encontraron dos capas de ofuscación que conducen al usuario a un segundo sitio comprometido vía un iFrame.

El segundo sitio comprometido trabaja como una ubicación desde donde se desvía la conexión. Es interesante que los usuarios no dirigidos desde el sitio de Jamie Oliver, así como los servicios de VPN utilizados, no sirvieron para explotar el contenido. Lo mismo sucedió para los visitantes por segunda vez.

Una vez que el usuario cumple con los controles es redirigido para explotar el contenido. Los archivos objetivo JS son generados aleatoriamente y se observó más de un nombre de host. Websense Labs ha monitoreado la actividad maliciosa en el uso de este dominio de primer nivel (TLD).

Los clientes de Websense estuvieron protegidos en todo momento mediante el Reputation Category Set. Protección adicional ha sido agregada en ACE, la Advanced Classification Engine, en las diferentes etapas del ataque.

Los sitios de alto perfil no comerciales muestran que los estilos de vida personales de los usuarios también pueden tener un efecto en la seguridad de una organización. Navegar por sitios de ocio, una práctica común en las empresas, también puede exponer los recursos empresariales a contenidos que podrían no tener esos altos estándares de seguridad. Además los clientes de Websense deben asegurarse de que los canales de comunicación disponibles al público estén siempre actualizados. Esto puede impedir que terceros intenten llegar a usted. Sin importar si la inyección de contenidos en Pancake Day es coincidencia o algo intencional, hemos observado actores maliciosos que aprovechan los acontecimientos actuales con fines maliciosos. ¿Quién será el siguiente en la lista de ataques? Después del Día de San Valentín y del Día del Panqueque, el Año Nuevo Chino es el que sigue en la fila. Los usuarios de Websense deben permanecer siempre vigilantes cuando cualquier forma de contacto exija una acción inmediata o haga referencia a temas que normalmente no se consideran un riesgo de seguridad.

En este momento, el archivo JavaScript del sitio web de Jamie Oliver ya no alberga código malicioso. 

Compartir nota:

Publicaciones Relacionadas

Scroll to Top