Giganet.com.ar y Felipemaia.com.br hackeados para enviar programas maliciosos
Autor: Miguel17 feb
Caiga o no en la trampa, odio (pero mucho) que me envíen programas maliciosos, o para abreviarlo: Virus.
Lamentablemente, alguien parece muy obstinado a que yo, dentro de una gran lista de distribución, ejecute ese exe.
Para que entiendan de que estoy hablando voy a contar lo que ocurrió hoy:
Recibo un mail de “mi amiga” Lorena <lorena@facebook.com> (Wtf!? Trabaja en Facebook 
), que quiere compartir unas fotos conmigo, al ver el link a simple vista dice:
http://www.facebook.com/fotos.php?id=0-00123a02as1a12a12a1s32d0a3s
Pero si nos fijamos detalladamente, vemos que en realidad el link apunta hacia otra cosa totalmente distinta, nos lleva a:
http://felipemaia.com.br/arearestrita/sistema_de_banner/_facebook.com-fotos.jpg.exe
Obviamente, hay que desconocer bastante como para ejecutar ese archivo (Si alguno quiere hacerlo, yo no me hago cargo de nada eh 
)
La Página web en cuestión es la de un Diputado Brasileño, Felipe Maia que al parecer esta bastante mal asesorado en materia de seguridad informática, ya que si bien este mismo sitio al día de hoy esta funcional, fue hackeado hace un mes mostrando un gran “Owned” en la portada, y nunca se tomaron el trabajo de borrar el archivo.
Esto no lo se mágicamente, hace meses recibí mails parecidos al de ahora y también lo investigue. Es porque me rompen las bolas que hago el post
Como soy una buena persona (?) y para evitar que alguién lo ejecute me puse en contacto con el hosting brasileño y con los responsables del sitio, por el momento no recibí ninguna respuesta.
Luego de esto me puse a indagar de donde provenia el mail, acá esta (resumida) la cabecera del mismo:
Delivered-To: info@miguelcosta.com.ar Return-Path: <root@mx1.giganet.com.ar> Received: from mx1.giganet.com.ar (ns1.guby.com.ar [200.49.102.61]) by mx.google.com with SMTP id 22si11529611gxk.37.2009.02.17.13.47.53; Tue, 17 Feb 2009 13:47:54 -0800 (PST) Date: 17 Feb 2009 18:44:44 -0300 Message-ID: <20090217214444.5673.qmail@mx1.giganet.com.ar> To: info@miguelcosta.com.ar Subject: Nuevas fotos para vos! X-PHP-Script: ***************** for 190.51.25.241 From: <lorena@facebook.com> Reply-To: support@hotmail.com MIME-Version: 1.0 Content-Type: text/html Content-Transfer-Encoding: 8bit
Como ven ahi tenemos algunas cosas bastante interesantes:
- El servidor desde donde proviene el mail: mx1.giganet.com.ar
- El Id del mensaje: 20090217214444.5673.qmail@mx1.giganet.com.ar
- El script utilizado para enviar el mail (Que no lo pongo para que nadie más se aproveche y lo use), y la dirección IP de la persona que lo envió: 190.51.25.241
Esta dirección IP pertenece a Speedy, dentro de la zona de Capital Federal y es dinámica, lo que no garantiza que en este momento este asignada especificamente a la persona que lo hizo, pero si que en algún momento lo estuvo. Por lo tanto, no intenten hacer nada raro.
Agrego además que el script desde donde se envió el mail estaba dentro del dominio btmchile.com cuyos responsables son los mismos que Giganet.
Como con el hosting, también me puse en contacto con estas personas, en primera medida a traves de la página web (Btmchile.com), pero oh, sorpresa:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ‘http://felipemaia.com.br/arearestrita/sistema_de_banner/_facebook.com-fotos.jpg.’ at line 1
Al parecer no era solo un simple script
Por la web de Giganet los mensajes se envian, de todos modos un Whois y una consulta en Nic.ar revela que efectivamente el director general que aparece en la sección contactanos, Mariano Andrés Giudice, es fehacientemente el responsable del dominio y afortunadamente encontré una dirección de e-mail donde notificar el hecho, ahora que le den bola o no es cosa suya.
No se cuanta importancia le den, pero yo en su posición como webmaster consideraría un problema grave que usen mis servidores smtp, y modifiquen las consultas SQL a lo que se le den las ganas. Supongo que ustedes también.
—-
Lo que me molesta de todo son estos estúpidos que andan dando vueltas pensando que son hackers cuando lo único que hacen son un poquito de ingeniería social para hacer caer a los que menos saben en vez de ponerse a hacer algo util ¡Esto no es ser un hacker! Por ahí si la parte de acceder a un hosting, subir un archivo, y poner un gran owned, pero ¿Y todo ese spam que recibo porque?
Bah. si… Capaz para Clarín no hace falta mucho para serlo, por ejemplo, en esta nota (más allá de la temática principal) considera al que hace Phishing un Hacker hecho y derecho. ¿Se sienten todopoderosos enviando esas porquerías? ¿Si sienten “grosos” por que alguien caiga en algo que ni diseñaron? Si eso les da satisfacción y justifica molestarme por mail, son unos fracasados.
Déjense de joder y consiganse una vida
- Entradas (RSS)
- Comentarios (RSS)
3 Comentarios for "Giganet.com.ar y Felipemaia.com.br hackeados para enviar programas maliciosos"
Ahhh… pero alto laburito te mandaste… felicitaciones.
Lamentablemente estos pibes (los de la vieja escuela laburaban un poquito mas, con xploits y demas, para hacerlo mas creible) se creen hackers por huevadas como esta, que las hace cualquiera en un colegio con una clase de HTML (la parte del link, ya el script es mas complejo)
Una lastima que esten nuestros mails metidos :S
Exitos!
Buenos días, hemos llegado a este artículo vía Google.
Miguel, queríamos comentarte que los casos aislados de phishing detectados ya fueron solucionados y correctamente notificados a ARCERT.
Te comento que somos una empresa de marketing orientado al segmento del turismo, con casi 20 años de trayectoria en el mercado.
Cualquier otra información o pregunta, nos podés escribir a este mismo email.
Saludos
Me alegro que hayan podido hacer algo
esperemos que estas personas no vuelvan a molestar.
Dejar un comentario