Los investigadores del Websense® Security Labs™ son conscientes de actividad maliciosa reciente en el sitio web oficial de Jamie Oliver. Jamie Oliver es una celebridad de la cocina en el Reino Unido con más de 10 millones de visitas al mes. Como observó Malwarebytes, su sitio (jamieoliver.com) se ha visto comprometido por una inyección directa que sirve contenido malicioso. Con un ranking Alexa de 5280 a nivel global y 519 en el Reino Unido, el sitio es un blanco perfecto para los actores maliciosos. Esto se comprobó en el Pancake Day cuando los gourmets de todo el mundo buscaban deliciosas recetas. El uso de una inyección directa puede inundar ciertos anuncios con malware para su distribución.
«La búsqueda de la mezcla perfecta para panqueques el martes de Carnaval podría haber dado lugar a que el chef favorito tuviera la receta ideal. Los autores de malware quieren llegar a más víctimas desprevenidas y sólo necesitan alojar por un breve momento su código en estos sitios populares para capturar grandes volúmenes y donde los webmasters no están preparados. Si los usuarios finales navegan en dichos sitios, las empresas deben asegurarse de que tienen la receta perfecta para detectar los kits de malware y exploits conocidos, además de combinarlos con análisis en tiempo real para asegurar que las amenazas alojadas sean detenidas”, dijo Carl Leonard, Analista Principal de Seguridad de Websense.
Página Comprometida de Jamie Oliver
La página comprometida se observó como hxxp://www.jamieoliver.com/recipes/. Una búsqueda rápida de Jamie Oliver en Google reveló que es el segundo resultado devuelto. Esta página recibe una llamada a un archivo JS que puede inyectarse o modificarse por los actores maliciosos:
Jamie Oliver hospedó un archivo JavaScript malicioso
El archivo disfrazado como un archivo JS legítimo fue observado como hospedado y redireccionaba el contenido. Investigadores de Malwarebytes analizaron su contenido y encontraron dos capas de ofuscación que conducen al usuario a un segundo sitio comprometido vía un iFrame.
Entrega de Contenido Explotado
Una vez que el usuario cumple con los controles es redirigido para explotar el contenido, tal y como lo ilustra el siguiente ejemplo: hxxp://tgsquy.sisokuleraj[.]xyz/images/30913695361424116048.js. Los archivos objetivo JS son generados aleatoriamente y se observó más de un nombre de host. Websense Labs ha monitoreado la actividad maliciosa en el uso de este dominio de primer nivel (TLD)
Los clientes de Websense estuvieron protegidos en todo momento mediante nuestro Reputation Category Set. Protección adicional ha sido agregada en ACE, nuestra Advanced Classification Engine, en las diferentes etapas del ataque, como se detalla a continuación:
- Stage 3 (Redirección) – ACE protegió contra la redirección maliciosa que lleva el Exploit Kit
- Stage 4 (Exploit Kit) – ACE protegió contra el contenido del Fiesta Exploit Kit mediante el Reputation Category Set.
Resumen
Los sitios de alto perfil no comerciales muestran que los estilos de vida personales de los usuarios también pueden tener un efecto en la seguridad de una organización. Navegar por sitios de ocio –una práctica común en las empresas- también puede exponer los recursos empresariales a contenidos que podrían no tener esos altos estándares de seguridad. Además los clientes de Websense deben asegurarse de que los canales de comunicación disponibles al público estén siempre actualizados. Esto puede impedir que terceros intenten llegar a usted. Sin importar si la inyección de contenidos en Pancake Day es coincidencia o algo intencional, hemos observado actores maliciosos que aprovechan los acontecimientos actuales con fines maliciosos. ¿Quién será el siguiente en la lista de ataques? Después del Día de San Valentín y del Día del Panqueque, el Año Nuevo Chino es el que sigue en la fila. Los usuarios de Websense deben permanecer siempre vigilantes cuando cualquier forma de contacto exija una acción inmediata o haga referencia a temas que normalmente no se consideran un riesgo de seguridad.
En este momento, el archivo JavaScript del sitio web de Jamie Oliver ya no alberga código malicioso. Nos pusimos en contacto con la empresa que gestiona el sitio de Jamie Oliver, y confirmaron que son conscientes de la amenaza y en la actualidad están realizando sus propias investigaciones.
Para obtener más información por favor visite el blog de Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/02/18/pancake-day-jamie-oliver-site-served-recipes-with-a-side-of-malware.aspx