• Tweet

Ataque en progreso detecta errores del sitio e inyecta código malicioso

Mas de 132,000 sitios, muchos de ellos pequeños y sin algún administrador web, están siendo removidos uno a uno por un ataque automatizado de inyección de SQL que detecta errores en los sitios y luego les inyecta código malicioso para convertir estos sitios en plataformas para lanzar ataques.

Los ataques, primero detectados en noviembre por investigadores de ScanSafe, están inyectando iFrames maliciosos que instalan una puerta trasera de un caballo de Troya. Este caballo de Troya utiliza un dominio malicioso, 318x, para instalar Malware incluyendo el caballo de Troya Buzuz, dijo Mary Landesman, investigadora en jefe en ScanSafe. Típicamente, dicen los expertos, los caballos de Troya basados en IRC han sido los más usados para ataques a sitios web. Los canales de IRC, la manera tradicional de canalizar ataques, se reduce en la misma medida que los atacantes usan herramientas automatizadas que agudizan la eficacia al atacar.

Más de una docena de archivos de scripts son llamados a través de una cadena complicada de iframes y referencias src fuertemente dependientes del tipo de navegador, versión de flash, y otros criterios parecidos. El ataque parece que es un trabajo en progreso; de los script usados en la etapa final del ataque, algunos scripts son cambiados, removidos, y nuevos son introducidos.

Una vez que los sitios fueron comprometidos y los ataques automáticos están posicionados, las máquinas de los visitantes son normalmente revisadas en busca de cualquier software que se comunique con la red y que no esté completamente parchado, tales como Adobe Flash Player o los componentes del navegador Microsoft Internet Explorer, dijo Landesman. Como en cualquiera de estos ataques, Landersman dijo que acostumbran robar datos de tarjeta de crédito o los datos para ingresar a las cuentas bancarias.

Una búsqueda posterior arrojó que casi 300 00 sitios web pudieron ser golpeados por el ataque. Es importante destacar que los ataques son dirigidos a cualquier sitio vulnerable. Los adminitradores a cargo de grandes sitios, deberían poner más a atención a las anomalías y revisar por algún error que haya sido usado para comprometer a un sitio.