De acuerdo con varios investigadores, existe una relación en las recientes intrusiones a algunos sitios web de LA Times con el blog de la empresa fabricante de discos duros Seagate, parece ser que todos estos sitios están alojados en servidores que utilizan el software para servidores web Apache y que han sido comprometidos y equipados con un módulo que es capaz de insertar y rotar iframes maliciosos en todas las páginas de los sitios web alojados. 

Estos iframes redirigen sitios web que alojan algún kit de exploits (Blackhole), provocando que los usuarios terminen con malware en sus equipos. 

La comunidad de seguridad de la información tiene conocimiento de Darkleech (como se conoce al módulo malicioso) ya desde hace tiempo. Los primeros ataques que lo emplearon fueron reportados en agosto del año pasado por escritores del blog Unmask Parasites, el módulo ha estado a la venta durante meses en mercados ilícitos en línea.

Lo que hace especial a este malware es que se comporta de tal forma que hace difícil a los investigadores de seguridad el rastreo de sitios comprometidos. Los iframes inyectados son generados 'al vuelo' al momento que los visitantes entran al sitio, no con todos los visitantes se realiza esta acción.
 

De acuerdo con información compartida con Dan Goodin del sitio de noticias Ars Technica, las visitas originadas en direcciones IP pertenecientes a compañías de seguridad y empresas de hosting, así como aquellas que han sufrido el ataque recientemente o llegan a los sitios por medio de motores de búsqueda específicos en Internet, no se verán afectados por el ataque, es decir, solo verán las páginas no modificadas. Es por lo anterior que se dificulta encontrar estos sitios mediante búsquedas en Google.

Otro gran problema para los investigadores es que no han podido averiguar cómo es que los atacantes obtienen acceso y control de los servidores para desplegar el módulo malicioso. Podría ser desde una vulnerabilidad de software, conocida o desconocida, ataques de ingeniería social o craqueo de contraseñas.

De acuerdo a Mary Landesman, investigadora de seguridad para Cisco Systems, quien ha analizado un conjunto de 1,239 sitos web comprometidos a lo largo de seis semanas a principios de este año, todos están ejecutando versiones 2.2.22 o superior de Apache en diferentes distribuciones de Linux.

Al mismo tiempo, ella detectó casi 2 mil servidores de hosting afectados. Si el promedio de sitios alojados por uno de estos servidores es 10, eso significa que cerca de 20 mil sitios web fueron comprometidos.

Deshacerse del módulo malicioso es difícil, dicen los investigadores, la mejor línea de acción sería apagar el servidor, reinstalarlos completamente y reestablecer los sitios desde respaldos, asegurándose de cambiar todas las credenciales del servidor. Y aún así, eso no garantiza que los atacantes no han dejado una puerta trasera que les permita regresar.