• Tweet

Investigadores en Seguridad han encontrado un cofre del tesoro de las contraseñas de FTP, algunas de sitios de alto perfil, sobre un servidor de la delincuencia cibernética.

Jacques Erasmo, CTO de herramientas de seguridad de la firma Prevx, encontró un sitio donde un troyano carga las credenciales de acceso al FTP capturadas de máquinas. Hasta ahora, Erasmo ha encontrado logins para ftp.bbc.co.uk, ftp.cisco.com, ftp.amazon.com, ftp.monster.com y, aún sitios de seguridad incluyendo ftp.mcafee.com y ftp.symantec.com a lo largo de una lista extensa de más de 68,000.

Las primeras investigaciones sugieren que los logins fueron tomados durante las dos semanas pasadas y que al menos unos permanecen válidos. La violación por lo tanto, abre la puerta a hackers hacia la unidad de carga-descarga de scripts y otros documentos en los sitios en peligro. PrevX ejecuta exploraciones para detectar al intruso iFrames en sitios potencialmente vulnerables, y aún está por ver cualquier evidencia de que esto en realidad haya pasado.

Erasmo explicó que los logins del FTP son cada vez subidos por una variante del troyano zbot en un servidor alojado en China, donde son almacenados en formato de texto y así estar potencialmente abiertos a todos para encontrarlos y manipularlos. PrevX ha presentado una demanda de abuso contra el sitio con el proveedor de alojamiento.

" Los datos son recolectados de las máquinas de los usuarios, cuando se infectan, " explicó Erasmo. " Un escenario típico podría ser el de un diseñador web de una de las organizaciones infectadas, sus detalles de conexión de ftp almacenados son comprometidos, y entonces el atacante en este caso es capaz de conectarse al sitio ftp y comprometer las páginas de sitio web. "