Los estafadores publican anuncios de servicios de piratería en sitios web gubernamentales

Los estafadores publican anuncios de servicios de piratería en sitios web gubernamentales

Los estafadores publicaron varios anuncios de servicios de piratería en los sitios web oficiales de varios estados, condados y gobiernos locales de EE. UU., una agencia federal y muchas universidades.

Los anuncios estaban contenidos en archivos PDF cargados en sitios web oficiales .gov propiedad de los gobiernos estatales de California, Carolina del Norte, New Hampshire, Ohio, Washington y Wyoming; el condado de St. Louis en Minnesota, el condado de Franklin en Ohio, el condado de Sussex en Delaware; la ciudad de Johns Creek en Georgia; y la Administración Federal para la Vida Comunitaria.

Los estafadores también subieron anuncios similares a los sitios web .edu de varias universidades: UC Berkeley, Stanford, Yale, UC San Diego, University of Virginia, UC San Francisco, University of Colorado Denver, Metropolitan Community College, University of Washington, University of Pennsylvania , University of Texas Southwestern, Jackson State University, Hillsdale College, United Nations University, Lehigh University, Community Colleges of Spokane, Empire State University, Smithsonian Institution, Oregon State University, University of Buckingham UK y Universidad Del North en Colombia.

Además de los sitios .gov y .edu, otras víctimas incluyen a la Cruz Roja Española; el contratista de defensa y constructor aeroespacial Rockwell Collins, parte de Collins Aerospace y una subsidiaria del gigante de defensa Raytheon; y una empresa de turismo con sede en Irlanda.

Los archivos PDF enlazan con varios sitios web diferentes, algunos de los cuales son servicios publicitarios que afirman poder piratear cuentas de Instagram, Facebook y Snapchat; servicios de trampas en videojuegos; y servicios para crear seguidores falsos.

«La MEJOR manera de hackear Insta 2021», se lee en un PDF. «Si está buscando hackear una cuenta de Instagram (ya sea la suya de la que ha sido bloqueado o la de un amigo), InstaHacker es el lugar adecuado para buscar. En InstaHacker, brindamos a nuestros usuarios una cuenta fácil, segura y totalmente libre de cualquier malas intenciones. [sic throughout].”

Algunos de los documentos tienen fechas que sugieren que pueden haber estado en línea durante años.

Estos anuncios fueron encontrados por John Scott-Railton, investigador principal de Citizen Lab. No está claro si los sitios que encontró, y los hemos enumerado, son una lista completa de los sitios afectados por esta campaña masiva de spam. Y dada la cantidad de sitios web que muestran anuncios muy similares, el mismo grupo o individuo puede estar detrás de todo.

LEER  El mercado de capital de riesgo está mejor de lo que piensas

«Las descargas de PDF de SEO son como infecciones oportunistas que prosperan cuando su sistema inmunológico está suprimido. Aparecen cuando tiene servicios mal configurados, CMS sin parches [content management system] errores y otros problemas de seguridad”, dijo Scott-Railton.

Aunque esta campaña parece ser compleja, masiva y, al mismo tiempo, un juego de SEO aparentemente inofensivo para promover servicios fraudulentos, los hackers maliciosos podrían haber explotado las mismas fallas para causar mucho más daño, según Scott-Railton.

“En este caso, los PDF que descargaron simplemente contenían texto que apuntaba a un servicio de estafa que sabemos que también podría ser malicioso, pero muy bien podrían haber descargado PDF con contenido malicioso”, dijo -declara. «O enlaces maliciosos».

Zee Zaman, portavoz de la agencia de seguridad cibernética de EE. UU., CISA, dijo que la agencia «está al tanto de los aparentes compromisos en algunos sitios web gubernamentales y académicos para alojar spam de optimización de motores de búsqueda (SEO). Estamos coordinando con las entidades potencialmente afectadas y ofreciendo asistencia si es necesario». ”

TechCrunch ha inspeccionado algunos de los sitios web anunciados en los PDF y parecen ser parte de un esquema complicado para generar dinero a través del fraude de clics. Los ciberdelincuentes parecen usar herramientas de código abierto para crear ventanas emergentes para verificar que el visitante es un humano, pero en realidad están generando dinero en segundo plano. Una revisión del código fuente de los sitios web sugiere que los servicios de piratería publicitarios probablemente sean falsos, a pesar de que al menos uno de los sitios muestra imágenes de perfil y nombres de presuntas víctimas.

Varias víctimas le dijeron a TechCrunch que estos incidentes no son necesariamente signos de una violación, sino el resultado de estafadores que explotan una falla en los formularios en línea o en el software del sistema de administración de contenido (CMS), lo que hizo posible cargar los archivos PDF en sus sitios.

LEER  Las startups fintech en etapa inicial acaban de obtener una nueva fuente de financiación

Los representantes de tres de las víctimas, la ciudad de Johns Creek en Georgia, la Universidad de Washington y los colegios comunitarios de Spokane, dijeron que el problema estaba en un sistema de administración de contenido llamado Kentico CMS.

No está claro exactamente cómo se vieron afectados todos los sitios. Pero los representantes de dos víctimas diferentes, el Departamento de Pesca y Vida Silvestre de California y la Universidad de Buckingham en el Reino Unido, describieron técnicas que parecen ser las mismas, pero sin mencionar a Kentico.

«Parece que una persona externa se ha aprovechado de uno de nuestros mecanismos de informes para cargar archivos PDF en lugar de imágenes», dijo a TechCrunch David Pérez, especialista en ciberseguridad del Departamento de Pesca y Vida Silvestre de California.

el departamento tiene multiples paginas donde los ciudadanos pueden denunciar avistamientos de caza furtiva y animales heridos, entre otras cosas. El subdirector de comunicaciones del departamento, Jordan Traverso, dijo que había un formulario mal configurado en la página para reportar murciélagos enfermos o muertos, pero el sitio «no estaba realmente comprometido» y el problema se resolvió y el departamento eliminó los documentos.

Roger Perkins, vocero de la Universidad de Buckingham, dijo que «estas páginas no son el resultado de un hackeo, sino que son viejas ‘páginas malas’ resultantes del uso de un formulario; básicamente son spam y ahora se están eliminando». […] había una forma pública (que ya no existe) que esta gente aprovechaba.

Tori Pettis, portavoz de la Asociación de Comisionados de Bomberos de Washington, una de las agencias involucradas, le dijo a TechCrunch que se eliminaron los archivos. Pettis dijo que no estaba segura de si el problema era con Kentico y que «el sitio no fue pirateado, sin embargo, había una vulnerabilidad que anteriormente permitía a los nuevos miembros cargar archivos en sus cuentas antes de completar el perfil».

Jennifer Chapman, gerente sénior de comunicaciones de la ciudad de Johns Creek, dijo que «hemos trabajado con nuestra empresa de alojamiento para eliminar los archivos PDF en cuestión y resolver el problema».

LEER  A medida que la IA consuma la investigación, ¿qué nos quedará a los humanos?

Ann Mosher, gerente de asuntos públicos de la Administración para la Vida Comunitaria, dijo que las páginas «han sido eliminadas».

Leslie Sepuka, directora asociada de comunicaciones académicas de la Universidad de California en San Diego, dijo: «Se han cargado archivos PDF no autorizados en este sitio. Los archivos se han eliminado y se han realizado ediciones para evitar el acceso no autorizado. Todos los usuarios con acceso a la También se les pidió al sitio web que restablecieran sus contraseñas.

El portavoz de la Universidad de Washington, Victor Balta, dijo que «el problema parece provenir de un módulo de complemento obsoleto y vulnerable en el sitio web que permitía cargar contenido en un área pública». El portavoz agregó que «no hay indicios de un impacto o compromiso más profundo del acceso o los datos dentro del sistema relativo».

Balta atribuyó el problema a Kentico.

Thomas Ingle, director de servicios tecnológicos de Community Colleges of Spokane, dijo que el problema era un servidor de Windows que ejecutaba Kentico y que «habíamos subido documentos (en este caso, el PDF al que hizo referencia) a los que apuntaban otros servidores pirateados».

Janet Gilmore, portavoz de UC Berkeley, dijo: «Se encontró una vulnerabilidad en este sitio web», refiriéndose al sitio donde se publicaron los anuncios de piratería, y que el problema se solucionó «para evitar que esto vuelva a suceder en el futuro». ”

Las otras organizaciones nombradas no respondieron a las consultas de TechCrunch. Varias llamadas y correos electrónicos a Kentico Software quedaron sin respuesta.

El daño final de esta campaña de spam es y eventualmente será mínimo, pero tener la capacidad de cargar contenido en sitios web .gov sería motivo de preocupación, no solo para los sitios web .gov en cuestión, sino para todo el gobierno estadounidense.

Ya llegó. En 2020, Hackers iraníes irrumpieron en el sitio web de una ciudad de EE. UU. con el aparente propósito de alterar el conteo de votos. y funcionarios electorales expresaron su preocupación para los piratas informáticos que piratean sitios web relacionados con las elecciones.

Más contenidos sobre empresas en América Latina

Deja una respuesta