Symantec reportó que a nivel mundial existen al menos 3 500 servidores con un script malicioso que redirige a los usuarios a sitios comprometidos por atacantes, lo que permitiría la instalación de software malicioso.

La compañía mencionó que esto puede ser parte de un ataque pensado a un futuro próximo.

La firma de seguridad identificó este comportamiento a través de su Sistema de Prevención de Instrusos (IPS), este tipo de actividad es detectada cuando un script "oculto" es insertado en un portal web que redirige el navegador de los usuarios a sitios con código malicioso, Symantec agregó que los sitios comprometidos tienen en común un mismo manejador de contenidos (CMS).

Hasta la fecha no se tiene un malware relacionado con estos ataques de inyección, tampoco hay registro de descargas cuando se acceden a estos.

"Parece que el ataque es usado para recolectar información acerca del comportamiento que tienen los usuarios, evidentemente esta información puede ser usada para otro ataque. Entre las posibilidades de ataque se encuentran desplegar anuncios, ataques de envenenamiento SEO (Search Engine Optimization), modificar el código para instalar software malicioso y comprometer el equipo de los usuarios", según escribió Christian Tripputi, gerente de soporte de seguridad de Symantec.

El ataque comienza cuando un usuario a través de un navegador web visita una página con el script malicioso, este script permanece inactivo durante 10 segundos y eventualmente ejecuta código javascript alojado en otro servidor, que a su vez ejecuta una serie de scripts para lograr ocultar el script malicioso de la vista del usuario

Posteriormente, el script obtiene información como:

• Título del sitio
• URL
• Versión de Shockwave Flash
• Idioma del sistema
• Resolución de la pantalla
• Dirección IP del usuario

Cerca de 75% de los servidores afectados se encuentran ubicados en Estados Unidos e incluyen contenido educativo, gubernamental y de negocios.