Título: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: Username_Loading... en 10 Enero 2022, 14:09 pm Espero que sea el sitio correcto para escribir sobre el tema, no sabía muy bien dónde ponerlo.
Estaba buscando empleo por internet, y encontré una web muy buena (no es spam lo juro :xD) que me daba bastante confianza. Lo digo porque hay muchas webs del estilo hechas sólo para robar tu información. El caso es que de vez en cuando me saltaba el antivirus y me decía lo siguiente: Código: Malwarebytes Como parecía una web de confianza y no me aclaré mucho por internet, pensé que lo de "secuestro" podría ser algún falso positivo al mandar los formularios de inscripción, así que añadí una excepción al antivirus. Pero comenzó a saltarme una ventana que contenía un formulario para introducir un método de pago :huh: Curiosamente en inglés, algo raro en una web española enfocada al empleo en Castilla-La Mancha: https://fv9-2.failiem.lv/down.php?i=7gmfgfh8c&view (https://fv9-2.failiem.lv/down.php?i=7gmfgfh8c&view) (no me preguntéis por qué activé el inspector de elementos, no se nada de seguridad :rolleyes: ) Así que aquí me asaltaron las dudas ¿estoy infectado? ¿lo está la web? ¿es una web falsa directamente? Le hice un whois al dominio a ver que soltaba, pero era todo anónimo: (Pongo todo tal y como aparece porque es información accesible de forma pública, espero que no haya nada sensible) Código:
Decía que la IP estaba alojada fuera de España: Código: IP Address 172.67.204.219 - -1 other site is hosted on this server Muy raro ¿por qué alojarla tan lejos? Todavía no sabía si esto podía ser normal, ya que apenas se del tema, así que miré la dirección física que aparecía en la web y la consulté en Google ( Plaza de Grecia 1, Portal 1–Planta 1–Oficina 1, 45005 TOLEDO ) Estaba a nombre de una empresa llamada Centro Negocios Toledo CENT&TBS . Hice un Whois a su página web para comparar y parecía todo más normal, o por lo menos estaba alojada en España, como es lógico: Código: Domain Profile Entonces pensé ¿Y que pasa con la dirección que bloquea Malwarebites? (ApiUjQuery.com) Asumo que es la dirección a la que se "conecta" el formulario de pago que aparece en la imagen (no se si estoy usando los términos correctos pero espero estar explicándome bien :rolleyes:). Así que le hago Whois y me suelta esto: Código: Whois Record for ApiUjQuery.com Parece que todo está a nombre de un tipo llamado Ivanov Michael que vive en Mykolaiv, Urcania ¿quizás lo he entendido mal? :o Al buscar Mykolaiv - Ivanov Michael en Google, en los primeros resultados me aparece un perfil de Facebook de un tipo que dice ser "Fullstack Developer" (No lo comparto directamente por si incumple alguna norma del foro) Con todo esto me he quedado con las siguientes dudas: ¿Debería alguien hablar con la empresa Centro Negocios Toledo CENT&TBS por si han sido infectados? ¿o acaso es una web falsa? ¿quizás soy yo el que está infectado?¿Todo esto es normal y me estoy montando una película :xD ? Espero no haberos aburrido mucho con este tocho, tampoco se si he usado bien la etiqueta "code", pero me parecía buena forma de diferenciar el texto. Si me resolvéis alguna duda me dejaríais mas tranquilo, y si no, gracias por leer igualmente ;-) Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: MinusFour en 10 Enero 2022, 14:37 pm Parece ser que es un ejemplo de typosquatting (https://es.wikipedia.org/wiki/Typosquatting). No veo nada relacionado al dominio en ninguna parte y parece que esta caído.
Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: #!drvy en 10 Enero 2022, 14:47 pm Sí, esta "infectada".
(https://i.imgur.com/bnOd5tj.png) Código
Se hace pasar por api.jquery.com y hace meter datos pago para robo de informacion. Este es el codigo que carga el archivo: Código: <script language="javascript"> La página esa es un Wordpress, y tiene toda la pinta de que ya la han infectado más de una vez. Saludos Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: Username_Loading... en 10 Enero 2022, 14:51 pm Parece ser que es un ejemplo de typosquatting (https://es.wikipedia.org/wiki/Typosquatting). No veo nada relacionado al dominio en ninguna parte y parece que esta caído. ¿Te refieres a cambiar una l por una I por ejemplo? Encontré la página a través de Google, en la ofertas de empleo que aparecen, no se si servirá de ayuda. ¿Entonces toda la web sería falsa? (ofertasdetrabajoencastillalamancha.com) Porque antes de sospechar, como me ha parecido tan buena, la he compartido :P Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: #!drvy en 10 Enero 2022, 14:53 pm La pagina no tiene porque ser falsa. Parece ser un desarollo de esfuerzo bajo para aprovecharse de google ads peto las ofertas pueden ser reales. Lo que esta claro es que esta infectada.
Saludos Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: Username_Loading... en 10 Enero 2022, 15:02 pm La pagina no tiene porque ser falsa. Parece ser un desarollo de esfuerzo bajo para aprovecharse de google ads peto las ofertas pueden ser reales. Lo que esta claro es que esta infectada. Saludos Espero no agotar vuestra paciencia, ya he dicho que no se mucho del tema. Estoy tratando de comprender la información :rolleyes: ¿Entonces la pagina web ofertasdetrabajoencastillalamancha.com ha sido infectada por alguien que se hace pasar por api.jquery.com para robar la información de los usuarios? Lo bueno es que no estoy infectado ¿no? ;-) Y ¿No habría que avisar a los dueños de la web? Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: MinusFour en 10 Enero 2022, 15:19 pm Puedes avisarle al dueño... Yo no usaría esa página por lo pronto. Ese archivo que cargan (que no es jQuery obviamente) puede hacer bastantes cosas malas....
Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: Username_Loading... en 10 Enero 2022, 15:50 pm Les he mandado un correo breve y se lo he explicado como he podido, también le he puesto un enlace al hilo :laugh:
Si necesitan información pueden preguntar, para eso es su web :xD ¡Gracias por los consejos! Me quedo más tranquilo ;-) :-* Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: el-brujo en 10 Enero 2022, 18:37 pm Entonces se supone que el dominio ofertasdetrabajoencastillalamancha.com con Woocommerce ha sido comprometida (hackeada) e infectada con malware
Aquí sale un ejemplo bien explicado: WooCommerce Skimmer Spoofs Checkout Page https://blog.sucuri.net/2021/11/woocommerce-skimmer-spoofs-checkout-page.html https://www.virustotal.com/gui/domain/apiujquery.com/detection https://www.joesandbox.com/analysis/535216/0/html Ya pueden estar contentos que les hayas avisado. Título: Re: ¿Esta web está hackeada o soy yo el que tiene un virus? Publicado por: Username_Loading... en 11 Enero 2022, 01:18 am WooCommerce Skimmer Spoofs Checkout Page https://blog.sucuri.net/2021/11/woocommerce-skimmer-spoofs-checkout-page.html https://www.virustotal.com/gui/domain/apiujquery.com/detection https://www.joesandbox.com/analysis/535216/0/html ¡Vaya! Exactamente el mismo caso o.O Parece algo "común". Estaré atento a ver si hay movimiento por el hilo, sería una pasada que la web acabe resolviendo el problema :laugh: Sólo tendrían que leer porque ha quedado perfectamente explicado |