News

La variable de Google

Las descargas inadvertidas (drive-by downloads) han aumentado su popularidad en 2008. Como los administradores de sitios web están cada vez más informados sobre las últimas amenazas de seguridad, los cibercriminales están buscando nuevas formas de garantizar la supervivencia de sus programas nocivos.
Y, para ello, ¿qué mejor que utilizar Google? Todos lo usan, ¿por qué escritores de virus se quedarían atrás? Últimamente hemos estado viendo ataques que funcionan de la siguiente manera:

Los escritores de virus realizan búsquedas en Google para identificar los sitios web más populares. Después, buscan vulnerabilidades en cada uno de estos sitios. Las páginas con vulnerabilidades más críticas son utilizadas por los cibercriminales para lanzar sus ataques. Pero, para evitar ser descubiertos, los cibercriminales evitan agregar códigos en forma de nuevos archivos a los sitios comprometidos, e incluso evitan hacer uso de códigos ofuscados. En lugar de ello, modifican los scripts que ya se están ejecutando en las páginas comprometidas. En este caso particular, los nuevos parámetros que se agregan al script existente incluyen la siguiente función: (–referer=http://www.google.com/).

Esta función revisa de dónde viene el visitante del sitio infectado. Si se detecta que el visitante ingresó a la página utilizando un enlace proveído por Google, entonces se lo redirige a varios sitios nocivos que no tienen nada que ver con el que el usuario quería visitar. ¿El resultado? Un equipo infectado.

Por si esto fuera poco, el ataque no funciona si el internauta simplemente escribe el nombre del sitio infectado. En tal caso, no se ejecuta ninguna de las funciones del script inyectado y el usuario sólo se encuentra frente al sitio que quería visitar. Esto evita que los administradores, empleados y visitantes regulares de los sitios afectados sean víctimas del ataque, mientras que los criminales todavía pueden alcanzar sus metas:

  • Infectar un gran número de gente
  • Evitar que el administrador del sitio descubra y elimine el script malicioso.

Este tipo de ataques no sólo perjudican a los navegantes de la red, también pueden hacer que sitios inofensivos acaben formando parte de la lista de rechazados de los productos de seguridad.

Pero no sólo los sitios web más visitados de Google son víctimas de este nuevo ataque: los cibercriminales también están dirigiendo sus ataques a algunos sitios de productos de seguridad. Este es el caso, por ejemplo, del conocido programa de seguridad fraudulento Antivirus XP. Si un usuario está navegando en Google, tratando de encontrar información sobre este tema, su búsqueda tendrá una gran variedad de resultados. El problema es que, al ingresar a alguno de los sitios de la lista de resultados de Google, el script modificado del servidor de seguridad alterado ejecutará Antivirus 2010 en su equipo.

Parece que el comprometer sitios ofrecidos por buscadores de confianza y el infectar a los usuarios utilizando una serie de redirecciones serán dos formas de ataque muy populares en 2009, y sin duda causarán nuevos y fuertes dolores de cabeza a los administradores de sitios de Internet.

Este caso demuestra que ningun rincón de Internet es tan seguro como parece. Y este problema no sólo afecta a Google: después de realizar un par de pruebas, comprobé que este ataque también afecta a los buscadores de Yahoo! y MSN. Detectamos el programa utilizado para realizar este ataque como Trojan-Downloader.Win32.Fraudload.vffa, y estamos listos para hacer frente a futuras variantes de este ataque,

La variable de Google

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada