La estructura de Gumblar

Hemos estado analizando la infraestructura del programa nocivo Gumblar y encontramos algunos datos curiosos sobre la forma en la que opera. Nos pareció que era importante compartir nuestros descubrimientos con los dueños de sitios web para alertarlos sobre las amenazas que presenta este programa.

Los análisis de algunos sitios infectados mostraron que la única forma de inyectar la infección de Gumblar es usando acceso FTP, porque estos sitios web no tienen programación del lado del servidor. Esto se comprobó después con un análisis de los archivos de registro FTP.

La inyección de código malicioso en páginas HTML (que es una simple inserción de una pestaña <script> en cada archivo HTML) se realiza descargando todos los archivos del servidor que puedan tener HTML, cambiándolos y volviéndolos a subir. Llamamos a los sitios web que se modifican de esta manera “desviadores”, porque lo que hacen es desviar a los navegadores hacia el sitio web infectado.

El script inyectado dirige a otro sitio web que contiene exploits y guarda un registro de todos los clientes atacados. Estos sitios web deben admitir php, porque el funcionamiento está basado en php. Llamamos a estos sitios “infecciosos”, porque contienen los exploits y el archivo ejecutable malicioso para Windows. El ejecutable malicioso para Windows se libera cuando el ataque se lanza con éxito. El ejecutable espera hasta que el usuario ingrese sus credenciales FTP.

Hemos podido encontrar de dónde proviene el código de servidor de los sitios desviadores e infecciosos. Y encontramos una pieza más de la infraestructura: un grupo de sitios web comprometidos que llamamos “inyectores”. Estos sitios contienen una puerta trasera php genérica que permite al dueño ejecutar cualquier código php en el servidor web.

Todos los sitios web que participan en este ataque parecen ser legítimos pero están comprometidos y no están relacionados con el grupo Gumblar. Todo el grupo de sitios infectados se divide en al menos 3 subgrupos con diferentes propósitos que no se relacionan entre sí:

Los inyectores no actúan por su propia cuenta. Parece que este grupo se está utilizando para controlar las tareas de inyección. Esto significa que hay otro grupo de ordenadores que emite los códigos e instrucciones para infectar los sitios web en los servidores comprometidos. Nos referimos a estos equipos como “despachadores”. Todavía no hemos recopilado mucha información sobre ellos y no sabemos si también están comprometidos.

Así que la estructura de Gumblar es como esta:

¿Por qué Gumblar está tan expandido? La respuesta es simple: Es un sistema que se maneja de forma completamente automática. Es una nueva generación de redes zombi que se construyen a sí mismas. Este sistema está atacando de forma activa a los visitantes de sitios web, y cuando los infecta con el ejecutable de Windows, obtiene las credenciales FTP de los equipos de las víctimas. Después utiliza las cuentas FTP para infectar cada sitio web de los nuevos servidores. Así es como el sistema aumenta el número de páginas infectadas y sigue atacando a cada vez más ordenadores. Todo el proceso es automático, y el dueño sólo tiene que ajustar el sistema y actualizar el ejecutable del troyano que roba contraseñas y los exploits que se utilizan para atacar el navegador.

El sistema trabaja de forma constante atacando nuevos equipos, obteniendo nuevas cuentas FTP e infectando nuevos servidores. La siguiente ilustración explica las tareas de los servidores comprometidos: