Las descargas inadvertidas (drive-by downloads) han aumentado su popularidad en 2008. Como los administradores de sitios web están cada vez más informados sobre las últimas amenazas de seguridad, los cibercriminales están buscando nuevas formas de garantizar la supervivencia de sus programas nocivos.
Y, para ello, ¿qué mejor que utilizar Google? Todos lo usan, ¿por qué escritores de virus se quedarían atrás? Últimamente hemos estado viendo ataques que funcionan de la siguiente manera:
Los escritores de virus realizan búsquedas en Google para identificar los sitios web más populares. Después, buscan vulnerabilidades en cada uno de estos sitios. Las páginas con vulnerabilidades más críticas son utilizadas por los cibercriminales para lanzar sus ataques. Pero, para evitar ser descubiertos, los cibercriminales evitan agregar códigos en forma de nuevos archivos a los sitios comprometidos, e incluso evitan hacer uso de códigos ofuscados. En lugar de ello, modifican los scripts que ya se están ejecutando en las páginas comprometidas. En este caso particular, los nuevos parámetros que se agregan al script existente incluyen la siguiente función: (–referer=http://www.google.com/).
Esta función revisa de dónde viene el visitante del sitio infectado. Si se detecta que el visitante ingresó a la página utilizando un enlace proveído por Google, entonces se lo redirige a varios sitios nocivos que no tienen nada que ver con el que el usuario quería visitar. ¿El resultado? Un equipo infectado.
Por si esto fuera poco, el ataque no funciona si el internauta simplemente escribe el nombre del sitio infectado. En tal caso, no se ejecuta ninguna de las funciones del script inyectado y el usuario sólo se encuentra frente al sitio que quería visitar. Esto evita que los administradores, empleados y visitantes regulares de los sitios afectados sean víctimas del ataque, mientras que los criminales todavía pueden alcanzar sus metas:
- Infectar un gran número de gente
- Evitar que el administrador del sitio descubra y elimine el script malicioso.
Este tipo de ataques no sólo perjudican a los navegantes de la red, también pueden hacer que sitios inofensivos acaben formando parte de la lista de rechazados de los productos de seguridad.
Pero no sólo los sitios web más visitados de Google son víctimas de este nuevo ataque: los cibercriminales también están dirigiendo sus ataques a algunos sitios de productos de seguridad. Este es el caso, por ejemplo, del conocido programa de seguridad fraudulento Antivirus XP. Si un usuario está navegando en Google, tratando de encontrar información sobre este tema, su búsqueda tendrá una gran variedad de resultados. El problema es que, al ingresar a alguno de los sitios de la lista de resultados de Google, el script modificado del servidor de seguridad alterado ejecutará Antivirus 2010 en su equipo.
Parece que el comprometer sitios ofrecidos por buscadores de confianza y el infectar a los usuarios utilizando una serie de redirecciones serán dos formas de ataque muy populares en 2009, y sin duda causarán nuevos y fuertes dolores de cabeza a los administradores de sitios de Internet.
Este caso demuestra que ningun rincón de Internet es tan seguro como parece. Y este problema no sólo afecta a Google: después de realizar un par de pruebas, comprobé que este ataque también afecta a los buscadores de Yahoo! y MSN. Detectamos el programa utilizado para realizar este ataque como Trojan-Downloader.Win32.Fraudload.vffa, y estamos listos para hacer frente a futuras variantes de este ataque,
La variable de Google