• Tweet

Un investigador en Seguridad de la Información ha liberado un plugin para Firefox que porporciona bastante información acerca de sitios web que pudieron haber sido comprometidos con código malicioso.

El plugin , llamado Fireshark, fue liberado el miércoles en la conferencia Black Hat. La herramienta libre, de código abierto, está diseñada para abordar las deficiencias en otros programas usados para analizar sitios Web, comentó Stephan Chenette, principal investigador en seguridad de Websense, que permitió a Chenette desarrollar Fireshark en el transcurso de su trabajo.

Los hackers generalmente centran sus objetivos en sitios Web legítimos con código que puede, tanto afectar a una máquina con software malcioso, como redirigir al usuario a una página web maliciosa.

Websense se especializa en detectar páginas Web que han sido infectadas, de manera que muchos administradores del sitio no saben que sus sitios son perjudiciales para los visitantes o tienen dificultades para hacer ingeniería inversa del código malicioso. Fireshark “te mostrará los detalles exactos de un compromiso masivo”, comentó Chenette.

En los últimos 12 meses, el número de nuevos sitios Web comprometidos se ha incrementado alrededor del 225 por ciento, dijo Chenette.

“Eso significa que los atacantes están controlando, como nunca antes, más contenido que está siendo entregado a los usuarios”

Fireshark debe ejecutarse en una máquina virtual, para prevenir una infección. Los usuarios pueden introducir una lista de sitios Web para ser investigados. Fireshark, posteriormente, muestra el código de los sitios Web.

El código nocivo es ofuscado generalmente, de forma que es difícil decir lo que hace realmente, dijo Chenette. Pero el código ofuscado tiene que ejecutarse en el navegador para poder funcionar. Fireshark expone el código que generalmente no puede ser visto cuando está siendo ejecutado en la memoria del navegador.

“Me frustré con las herramientas disponibles públicamente,” dijo Chenette. “He escuchado la protesta de la comunidad de que no existen las herramientas correctas para visualizar el contenido ofuscado.”

Una vez que el código ha sido expuesto, es posible hacer más investigación y ver si otros sitios Web son afectados, dijo Chenette. Fireshark mostrará vulnerabilidades y exploits en los sitios Web.

Muchos sitios serán infectados con código que entrega malware o que redirige a los usuarios a sitios Web maliciosos. Las herramientas además, generan mapas de aquellas redirecciones, las cuales pueden dar pistas acerca de quien puede estar detrás de los ataques.

Fireshark recolecta los datos en un archivo “.yml”, el cual es similar a un archivo WML, dijo Chenette. El archivo “.yml” puede ser integrado dentro de otras herramientas de análisis de seguridad, dijo Chenette. Los datos que Fireshark recolecta son mantenidos localmente y nada es compartido con Websense.