Noticias

Navegando entre sitios web maliciosos

Introducción: Tendencias y evolución de la ciberdelincuencia

En los últimos años, Internet se ha convertido en un lugar peligroso. Originalmente diseñado para servir a un número relativamente reducido de usuarios, se ha extendido mucho más allá de las estimaciones iniciales de sus creadores. Actualmente existen más de 1.500 millones de usuarios de Internet, cifra que no para de crecer a medida que la tecnología se hace cada vez más accesible.

Los delincuentes también han observado esta tendencia y se han dado cuenta muy pronto de que cometer delitos en Internet (lo que actualmente se conoce como ‘ciberdelincuencia’) tiene sus ventajas.

En primer lugar, la ciberdelincuencia tiene un riesgo bajo, ya que trasciende las fronteras geopolíticas, por lo que a las autoridades respectivas les resulta difícil atrapar a los ciberdelincuentes. Además, los costes de realizar investigaciones y persecuciones internacionales pueden ser muy elevados, lo que significa que sólo se justifican en casos muy importantes. En segundo lugar, la ciberdelincuencia resulta fácil: existe amplia documentación sobre piratería y elaboración de virus disponible de manera gratuita en Internet, lo que significa que no son necesarios conocimientos ni habilidades sofisticadas. Estos son los dos principales factores que han hecho que la ciberdelincuencia se convierta en una industria multimillonaria y verdaderamente autosostenible en su propio ecosistema.

En su afán de proteger a los usuarios de Internet y de proporcionarles software fiable, las compañías de seguridad informática y los desarrolladores de software libran una incesante batalla contra la ciberdelincuencia. Por supuesto, los ciberdelincuentes a menudo modifican sus tácticas para combatir los contraataques de la industria de seguridad informática, lo cual ha dado lugar a dos tendencias actuales bastante marcadas.

En primer lugar, se evidencia la instalación de programas maliciosos aprovechando las vulnerabilidades tipo “día cero”. Aprovechando que para las vulnerabilidades de “día cero” aún no se dispone de parches, se las utiliza para infectar incluso sistemas informáticos completamente actualizados que no cuenten con una solución de seguridad dedicada. Las vulnerabilidades de “día cero” constituyen un valioso recuso dada su alta potencialidad de riesgo, y suelen comercializarse por decenas de miles de dólares en el mercado negro.

En segundo lugar, es evidente una línea común en el tipo de programas maliciosos diseñados para robar información confidencial que luego se comercializará en el mercado negro. Esta información incluye números de tarjetas de crédito, detalles de cuentas bancarias, contraseñas para sitios web como eBay o PayPal, e incluso contraseñas para juegos online como World of Warcraft.

Una de las razones obvias por las que la piratería cibernética ha alcanzado tal grado de expansión es porque es rentable; este afán de lucro siempre impulsará el desarrollo de nuevas tecnologías para la ciberdelincuencia.

Aparte de los últimos avances experimentados por la ciberdelincuencia, otra tendencia sobresaliente es la distribución de programas maliciosos (también conocidos como malware) a través de Internet. Tras los estallidos ocasionados por gusanos de correo como Melissa a principios de esta década, muchas compañías de seguridad informática concentraron sus esfuerzos en asegurar que sus soluciones neutralizaran los adjuntos maliciosos. A veces se llegó incluso a eliminar de los mensajes todos los adjuntos ejecutables.

Sin embargo, en los últimos años la Web se ha convertido en el principal medio de distribución de programas maliciosos. Los programas maliciosos se alojan en sitios web y se induce engañosamente a los usuarios para que los ejecuten manualmente, o se explotan vulnerabilidades para ejecutar dichos programas de manera automática en el equipo infectado.

Kaspersky Lab ha estado siguiendo muy de cerca y con mucha preocupación esta tendencia.

Estadísticas:

Durante los tres últimos años, hemos hecho seguimiento de entre 100.000 y 300.000 sitios supuestamente “limpios” para detectar en qué momento se convierten en distribuidores de malware. El número de sitios web observados se ha incrementado con el tiempo y debido a que se registran cada vez más dominios.

Esta tabla muestra el máximo índice de infección registrado en los sitios observados durante el respectivo año. Se ha producido una pronunciada alza del promedio inicial de 1 sitio web infectado por cada 20.000 en 2006, al máximo actual de 1 sitio infectado por cada 150, registrado a principios de 2009. Esto podría significar que se ha alcanzado el punto de saturación, en el que todos los sitios web que podían ser infectados, lo han sido. Sin embargo, este número crece y decrece a medida que se descubren nuevas vulnerabilidades y herramientas que permiten a los cibercriminales capturar nuevos alojamientos.

Las siguientes tablas muestran los programas maliciosos detectados con más frecuencia en sitios web en los años 2008 y 2009.


Las Top 10 infecciones en 2008


Las Top 10 infecciones en 2009

En 2008, Trojan-Clicker.JS.Agent.h se detectó en la gran mayoría de los casos, seguido muy de cerca por Trojan-Downloader.JS.Iframe.oj.

 
Ejemplo de una página fuente infectada con Trojan-Clicker.JS.Agent.h

 
Trojan-Clicker.JS.Agent.h descodificado

Trojan-Clicker.JS.Agent.h constituye un clásico ejemplo del aspecto de la mayoría de las infecciones de programas maliciosos en sitios web en 2008, y todavía aparece en 2009. Se añade un pequeño fragmento de código JavaScript cuya función es crear confusión y evitar los análisis antivirus. En el código mostrado más arriba, la confusión consiste simplemente en los caracteres ASCII que conforman el código malicioso convertido en códigos hex. Una vez descodificado, el código suele ser un iframe que conduce a un sitio web en el que se alojan vulnerabilidades. La dirección IP variará y existen muchos puntos de operación. La página de entrada al sitio web malicioso suele alojar vulnerabilidades para Explorer, Firefox y Opera. Trojan-Downloader.JS.Iframe.oj, que fue el segundo programa malicioso más popular, funciona de una manera muy similar.

En 2009 se registraron dos casos muy interesantes, el primero de los cuales fue Net-Worm.JS.Aspxor.a. Aunque este programa malicioso se detectó ya en julio de 2008, no fue sino en 2009 cuando se propagó ampliamente. Funciona mediante un paquete que detecta vulnerabilidades de inyección SQL en sitios web que luego se utilizan para insertar iframes maliciosos.

Otro caso muy interesante es “Gumblar”, llamado así por el dominio chino que se usó como punto de infección. La serie “gumblar”, visible en el confuso JavaScript añadido en un sitio web, es una clara señal de que este sitio ha sido vulnerado.

 
Típica inyección Gumblar en un sitio web

Una vez resuelta esta confusión, el código malicioso Gumblar se ve así:

 
Script Gumblar descodificado

El dominio “gumblar.cn” ha sido desactivado, pero por desgracia, los ciberdelincuentes se han mudado a nuevos dominios para realizar ataques similares.

Métodos de infección y distribución

Actualmente existen tres formas principales de infectar sitios web con programas maliciosos.

El método más común consiste en explotar vulnerabilidades en el mismo sitio web, por ejemplo, una inyección SQL, que permite la penetración del código malicioso. Herramientas de ataque como ASPOXor demuestran este método: pueden utilizarse para análisis masivos e inyección de programas maliciosos para miles de direcciones IP de manera simultánea. Estos ataques suelen aparecer en los registros de acceso de los servidores web.

El segundo método consiste en la infección del equipo de un desarrollador web con programas maliciosos cuyo objetivo es vigilar la creación y envío de archivos HTML, y luego inyectar códigos maliciosos en estos archivos.

Por último, el método menos popular consiste en infectar la web de un desarrollador o a un usuario con acceso a una cuenta de alojamiento con un troyano ladrón de contraseñas (por ejemplo, Trojan-Ransom.Win32.Agent.ey). Por lo general, el troyano ladrón de contraseñas contacta con un servidor vía HTTP para transmitir contraseñas de cuentas ftp que han sido sustraídas de herramientas ftp comunes, como FileZilla o CiteFtp. A continuación, el componente del servidor registra en una base de datos SQL la información de la cuenta de acceso. Posteriormente, una herramienta en el servidor accederá a la base de datos SQL, registrará todas las cuentas ftp, obtendrá la página índice, anexará el código troyanizado y volverá a cargar la página.

Debido a que en este último método se vulneran los detalles de acceso a la cuenta de alojamiento, es muy común que los desarrolladores detecten la infección, a veces gracias a alertas de los visitantes del sitio, y que el sitio se limpie, sólo para volver a infectarse al día siguiente.

 
Ejemplo de un sitio web (*.*.148.240) que se infecta, se limpia, y se
vuelve a infectar

Otra situación común se da cuando distintos grupos de ciberdelincuentes capturan al mismo tiempo la misma vulnerabilidad o los detalles de una cuenta de alojamiento. Entonces comienza una batalla en la que cada grupo trata de infectar el sitio web con su programa malicioso. El siguiente es un ejemplo de ello:

 
Muestra del informe de análisis de un sitio web (*.*.176.6) con
múltiples infecciones

El 11 de junio de 2009, se limpió el sitio web observado; el 5 de julio se infectó con Trojan-Clicker.JS.Agent.gk. Después, el 15 de julio se inyectó en el sitio otro programa malicioso: Trojan-Downloader.JS.Iframe.bin. Diez días después, el programa malicioso cambió de nuevo. Esto es algo relativamente común y muchos sitios web en realidad contienen varios programas maliciosos, anexados uno tras otro, colocados ahí por distintos grupos de cibercriminales.

A continuación ofrecemos una lista de comprobación de las acciones necesarias cuando se detecta una infección en un sitio web:

  • Identificar a todos los que tengan información de acceso al sitio web de alojamiento; analizar sus sistemas con una solución de seguridad para Internet actualizada; eliminar todo programa malicioso detectado
  • Reemplazar la clave de acceso por otra más sólida. Una contraseña sólida contiene letras, números y símbolos que dificulten su identificación
  • Reemplazar los archivos vulnerados con copias limpias
  • Identificar las copias de seguridad que puedan contener archivos infectados y limpiarlas

Según nuestra experiencia, es muy común que un sitio web infectado vuelva a infectarse tras limpiarlo. Sin embargo, la mayoría de las veces esto sólo sucede una vez: aunque la medida tomada contra la infección inicial puede ser relativamente superficial, es posible que el webmaster realice una investigación más profunda en caso de una segunda infección.

Evolución: el paso hacia sitios web legítimos

Hace un par de años, cuando comenzó el uso masivo de la web como medio de distribución de programas maliciosos, los ciberdelincuentes solían concentrarse en los así llamados alojamientos ‘a prueba de balas’ o en alojamientos comprados con tarjetas de crédito robadas. Tras notar esta tendencia, la industria de seguridad informática realizó esfuerzos concertados que posibilitaron la neutralización de las principales operaciones de alojamiento de programas maliciosos (tal es el caso del proveedor de alojamiento McColo de Estados Unidos y la compañía EstDomains de Estonia. Aunque aún hay casos en los que los programas maliciosos se encuentran alojados en sitios web obviamente maliciosos en China, por ejemplo, cuya neutralización sigue siendo difícil, quizás uno de los avances más significativos es que los programas maliciosos están recurriendo a dominios supuestamente limpios y fiables.

Acción y reacción

Tal como se mencionó antes, la adaptabilidad es uno de los aspectos más importantes en la constante batalla librada entre los ciberpiratas y las compañías de seguridad informática. Ambos bandos constantemente cambian sus tácticas y despliegan nuevas tecnologías en un esfuerzo por contrarrestar los últimos movimientos del oponente.

Los modernos navegadores de Internet, como Firefox 3.5, Chrome 2.0 y Explorer 8.0 ahora incorporan protección contra programas maliciosos bajo la forma del filtrado de URLs. Esto está diseñado para proteger al usuario contra sitios maliciosos que contienen explotaciones para vulnerabilidades conocidas o desconocidas, o que recurren a la ingeniería social para robar identidades.

Por ejemplo, tanto Firefox como Chrome utilizan Google Safe Browsing API que es un servicio gratuito de filtrado de URLs de Google. En este momento, la lista de programas maliciosos de Google Safe Browsing API contiene cerca de 300.000 entradas de sitios web maliciosos conocidos y más de 20.000 registros de sitios web phishing.

Google Safe Browsing API tiene un enfoque no invasivo de filtrado de URLs. En lugar de enviar cada URL a un tercero para su verificación, como hace IE8 Phishing Filter, las URLs se verifican en una lista de sumas de verificación MD5. Para que esto sea efectivo, la lista debe actualizarse de manera periódica, siendo 30 minutos el intervalo recomendable. Por supuesto, este método tiene una desventaja: el número de sitios maliciosos es mayor que el número de entradas en la lista MD5. Sin embargo, para que el tamaño de la lista sea manejable (actualmente tiene un tamaño de 12MB), probablemente sólo incluya los sitios web maliciosos más comunes. Esto significa que aún usando aplicaciones que implementen dichas tecnologías, los equipos pueden seguir infectándose con programas maliciosos en sitios no registrados en la lista.

Sin embargo, la implementación de tecnologías seguras para la navegación en Internet muestra que los desarrolladores de navegadores han tenido en cuenta la tendencia de distribuir programas maliciosos a través de sitios web y que están tomando las medidas necesarias para su neutralización. En realidad, la protección incorporada en los navegadores se ha convertido ya en un estándar de la industria.

Conclusiones

En los últimos tres años, ha aumentado de manera alarmante el número de sitios web supuestamente inofensivos que se infectan con programas maliciosos. Ahora existen cien veces más sitios infectados en Internet que hace cinco años. Los sitios web con notable perfil y alto tráfico son un bien muy codiciado por los ciberdelincuentes, puesto que la cantidad de víctimas potenciales que pueden infectarse a través de estos sitios es mayor que la normal.

Ofrecemos a los webmasters algunos sencillos consejos sobre seguridad:

  • Usar sólidas contraseñas para la cuentas de alojamiento
  • Usar SCP/SSH/SFTP para enviar archivos en lugar de FTP; esto evita que se envíen contraseñas en cleartext en Internet
  • Instalar y ejecutar una solución de seguridad
  • Mantener varias copias de seguridad que se puedan usar para la rápida restauración del sitio web en caso de ser vulnerado.

Advertimos a los usuarios de Internet que existen varios factores que incrementan el riesgo de ser víctima de sitios web infectados con códigos maliciosos. Entre estos factores está el uso de software pirata, la omisión de la instalación de parches de seguridad, la carencia de una solución de seguridad, y una generalizada falta de consciencia y conocimientos sobre las amenazas que circulan en Internet.

El software pirata es uno de los factores más críticos para la infección de un equipo. Las copias pirata de Microsoft Windows no pueden actualizarse de manera automática con los últimos parches de seguridad, lo que significa que son una puerta abierta para vulnerabilidades recién identificadas a la espera de ser explotadas.

Además, las versiones antiguas de Internet Explorer (que sigue siendo el navegador más popular) están expuestas a innumerables vulnerabilidades. Por lo general, cualquier sitio web malicioso es capaz de vulnerar Internet Explorer 6.0 sin parches de seguridad. Debido a ello, es de extrema importancia evitar el software pirata, especialmente las copias pirata de Windows.

Otro factor de riesgo es la carencia de una solución de seguridad. Incluso si el sistema se actualiza, podría infectarse con las vulnerabilidades de “día cero” desde software de terceros. Las soluciones de seguridad suelen actualizarse con mayor rapidez que la publicación de los parches de seguridad de software y ofrecen un escudo protector durante la exposición a la vulnerabilidad.

Si bien los parches de seguridad son importantes para mantener seguro el equipo, el ‘factor humano’ tiene un rol no menos importante. Por ejemplo, un usuario podría intentar mirar un ‘divertido videoclip’ que acaba de descargar desde Internet, pero resulta que es un programa malicioso. De hecho, algunos sitios web tratarán de usar este ardid si fracasan en sus intentos de explotar las vulnerabilidades del sistema. Este ejemplo muestra por qué el usuario necesita ser consciente de las amenazas que circulan en Internet, y en particular de las relacionadas con las redes sociales Web 2.0 que recientemente han sido blanco cada vez más frecuente de los ciberdelincuentes.

A continuación ofrecemos algunos consejos para protegerse contra estos ataques:

  • No descargar software pirata
  • Mantener todo software actualizado, incluyendo el sistema operativo, los navegadores, los lectores PDF, los reproductores de música, etc.
  • Instalar y usar una solución de seguridad como Kaspersky Internet Security 2010
  • Alentar a los empleados para que cada mes pasen unas cuantas horas visitando sitios web relacionados con la seguridad, como www.viruslist.com, en los que podrán aprender sobre los peligros en Internet y cómo protegerse de ellos.

Por último, no hay que olvidar que es mejor prevenir que curar, y tomar las consecuentes medidas de seguridad.

Para conocer más:

  1. Big Chinese Hack 2?
  2. asus.com comprometido: vínculo a la vulnerabilidad ANI
  3. Técnicas activas antirreversión en JavaScript
  4. Ataques “Gumblar” de rápida propagación
  5. El virus Asprox infecta sitios web gubernamentales y de consumo

Navegando entre sitios web maliciosos

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada