Webutation Distribui Malware vía Sello de Seguridad

Share this…

Si usted utiliza el sello de seguridad Webutation en su sitio web, retíralo de inmediato. Parece que Webutation fue hackeado y está distribuyendo software malicioso a los dispositivos móviles a través de redirecciones escondidas en el código del sello.

Estábamos analizando a un sitio web que había sido comprometido y redirigía a los visitantes hacia aplicaciones falsas en App Store de Apple y en Play Store de Google. El sitio web parecía estar limpio, pero las redirecciones continuaron sucediendo para los usuarios de dispositivos móviles. Al continuar la inspección, descubrimos que el sello de seguridad de Webutation fue responsable por la redirección.

El archivo load_badge.js – que se utiliza para generar el código – tiene algún JavaScript adicional para jquaryr[.]com que sólo se muestra a los agentes de usuarios móviles. Este código jquaryr (obviamente un error de tipeo para jQuery deliberado) fuerza la recarga de la página, que luego envía al usuario hacia las aplicaciones falsas. Esto es muy peligroso porque los visitantes confían en los sellos de seguridad para confirmar la credibilidad y la seguridad del sitio web que están visitando. Ésta es la primera vez que vimos un sello de seguridad ser hackeado de esta manera, con el fin de distribuir malware y redirecciones maliciosas.

webutation_

Sello de Seguridad Causa Redirecciones en Dispositivos Móviles

El código del sello aparece así para los usuarios de dispositivos móviles:

fallback

Usted puede ver las dos últimas líneas provocando la redirección:

var

Esas líneas abren la URL popOL.php, que lleva a una URL de su afiliado mobitrk.com, lo que finalmente conduce a aplicaciones falsas:

var element

Dificultad de Diagnosticar

El malware también utiliza un cookie para evitar que redirecciones múltiplas se produzcan en el mismo navegador, lo que dificulta la detección del problema por los webmasters .

Una vez más, si usted está usando Webutation, retire el sello de su sitio web de inmediato, al menos hasta que este problema se resuelva. Vamos a seguir proporcionando actualizaciones tan pronto como sepamos más.

Fuente:https://blog.sucuri.net