Ataque de “Nine-Ball” compromete 40.000 sitios legítimos

Expertos en seguridad han detectado un ataque masivo que ha comprometido más de 40.000 sitios web legítimos.

Los criminales a cargo del ataque, denominado “Nine-Ball” (bola nueve), robaron las credenciales FTP de los sitios afectados para poder controlarlos.

Sin que se den cuenta, los delincuentes redirigen a los visitantes de los sitios afectados a una serie de páginas comprometidas, hasta que las víctimas por fin llegan al destino final: www.nine2rack.in.

Aunque el sitio aparenta estar alojado en India, los expertos de la empresa Websense, que descubrió el ataque y lo estuvo estudiando durante más de una semana, creen que en realidad se encuentra en Ucrania.

Desde este sitio, los delincuentes intentan explotar viejas vulnerabilidades de Microsoft Data Access Components (MDAC), Adobe Reader, AOL SuperBuddy y QuickTime, para las que ya existen parches de seguridad.

La página lanza ataques “drive-by” a sus visitantes, quienes pueden quedar infectados sin necesidad de interactuar con el sitio.

Si el ataque tiene éxito, los delincuentes comprometen los equipos de los usuarios instalando programas troyanos y capturadores de teclado.

Además, para evitar que las empresas de seguridad los descubran, los delincuentes decidieron restringir el acceso de los usuarios que intenten ingresar al sitio por segunda vez.

Cuando el sitio nocivo detecta una dirección IP que ya lo ha visitado, la bloquea de forma automática y la redirige al buscador Ask.com, que no está comprometido ni representa ninguna amenaza para los usuarios.

Aunque no han publicado los nombres de los sitios afectados, Websense afirma que ninguno de ellos pertenece a empresas reconocidas.