Ataque de inyección masiva comprometió más de 20,000 dominios

1 2 3 4 5 6

Volver a listado de noticias

Últimas Noticias

Wikipedia estará fuera de línea en protesta por ley estadounidense 17-Ene-2012
Hackers difunden malware en sitios de juego para niños 17-Ene-2012
Protege tu cuenta de Facebook del último ataque de intrusión 17-Ene-2012
Revelan nombres de los desarrolladores de Koobface 17-Ene-2012

Ataque de inyección masiva comprometió más de 20,000 dominios

Help Net Security 18-Ago-2011

El ataque contempló además la entrega de un falso antivirus.

Un simple error de parte de los atacantes cibernéticos ha revelado otro ataque de inyección masiva de iFrames maliciosos que se encuentra actualmente en marcha, de acuerdo con investigadores de Armorize.

Inicialmente, los atacantes olvidaron incluir el tag <script> antes del código malicioso así que fue indexado por Google y por lo tanto localizable. El número inicial de dominios comprometidos fueron alrededor de 22,400 con un total de aproximadamente 536,000 páginas infectadas.

Desafortunadamente, los atacantes remediaron su error y el script inyectado no es visible por Google, así que el número de páginas infectadas actualmente es desconocido.

Lo que se sabe es que el script llega a la víctima a través de varios sitios redirigiéndolo a través de éstos y dejándolos en una página donde se descarga un script más, el cual es una versión modificada del paquete de exploit BlackHole.

BlackHole toma ventaja de las vulnerabilidades del sistema operativo Windows, Java, Adobe Reader y Flash Player para instalar un antivirus falso en la computadora de la víctima. El malware es inmediatamente ejecutado y comienza a intimidar a los usuarios:

Créditos: Help Net Security

La solución falsa cambia su nombre dependiendo del sistema operativo en el cual se encuentra el objetivo. Por ejemplo, es “XP Security 2012” si es Windows XP, “Vista Antivirus 2012” bajo Windows Vista y “Win 7 Antivirus 2012” si se trata de Windows 7.

De acuerdo con los investigadores, la redirección de los dominios se encuentra alojada en Moldavia y los servidores explotados en Estados Unidos. En cuanto a cómo es que los sitios legítimos son inyectados con iFrame maliciosos, dijeron que en la mayoría de los casos usan credenciales FTP robadas.

Por desgracia, este malware tiene una tasa de detección muy baja, 11.6% en Virus Total, así que lo mejor que puede hacer uno mismo para defenderse contra este tipo de amenazas es mantener todo el software actualizado para frustrar el kit de exploits.

Fuente: Help Net Security PLO/GC

Volver a listado de noticias