Las amenazas que circulan en Internet, como los vínculos maliciosos en las redes sociales, los sitios infectados y los avisos maliciosos son términos de los que a menudo se escribe. Nosotros, los expertos en seguridad, hemos tratado desde hace bastante tiempo de resaltar la importancia de evitar que tus sitios web y tu ordenador se infecten, ya que estos sitios maliciosos suelen explotar las vulnerabilidades del cliente. Estas vulnerabilidades han sido uno de los principales vectores de los ataques de los autores de programas maliciosos en los últimos años, pero ¿siguen siendo un problema?
Constantemente identificamos nuevas vulnerabilidades en aplicaciones y programas, y los ciberdelincuentes son muy rápidos en desarrollar exploits que luego incluyen en sus paquetes de exploits. Las vulnerabilidades en sí no son peligrosas a menos que el atacante sea capaz de explotarlas en el ordenador cautivo. Los atacantes han desarrollado estrategias para inducir a sus potenciales víctimas a visitar un determinado sitio para, por ejemplo, activar un exploit. Una de las tácticas más comunes es la ingeniería social o la infección de un sitio legítimo con códigos de desvío hacia el paquete de exploits.
El mes pasado, la mayoría de los principales fabricantes publicó actualizaciones críticas de seguridad para sus respectivos programas y aplicaciones, como Adobe, Oracle, Apple, Microsoft y Mozilla. Entonces comencé a investigar el actual escenario de amenazas y me concentré en Suecia puesto que soy investigador de seguridad informática para la región nórdica. Después de algunos minutos noté que los sitios y los usuarios suecos estaban siendo atacados.
En septiembre, verificamos un incremento del 3700% en los scripts de desvío escritos en JavaScript, específicamente Trojan.JS.Redirector.ro. Este desviador malicioso, que se encontraba en la 908? posición, trepó hasta la 15? en la clasificación de los programas maliciosos más detectados en Suecia en un mes. Este código solo desvía a los usuarios hacia otra URL, y me pareció extraño que no hayamos logrado notar un incremento en los programas maliciosos detectados en septiembre.
Lo que ahora estamos sufriendo en Suecia es una considerable infección masiva. En octubre, observé que se estaban explotando muchas vulnerabilidades de PDF. Por ejemplo, Exploit.JS.Pdfka.evi aumentó en más del 500% y Exploit.JS.Pdfka.ext lo hizo en un 188%. También constaté un considerable incremento en Iframe Clickers, y en Trojan-Clicker.HTML.Iframe.kr, este último en más del 300%. Todo esto era una indiscutible señal de que algo está sucediendo ahora en Suecia, pero aún sentía que me faltaba algo. Entonces, tras un análisis más profundo, vi que se estaban detectando hasta las nuevas versiones de exploits. Solo en octubre, hemos identificado más de siete nuevas variantes de exploits que atacan a los usuarios suecos.
Asimismo, resulta interesante constatar que las vulnerabilidades de Java son mucho más explotadas que las de PDF. Estos nuevos exploits son:
- Exploit.Java.CVE-2010-0840.dj
- Exploit.JS.Pdfka.ezg
- Exploit.Java.CVE-2010-0840.dc
- Exploit.Java.CVE-2010-0840.do
- Exploit.Java-CVE-2010-0840.df
- Exploit.Java-CVE-2010-0840.dn
- Exploit.Java-CVE-2010-0840.dd
En resumen, resulta evidente que nos enfrentamos a un gran ataque contra Suecia en este momento. Por supuesto que te mantendremos informado sobre la evolución de los hechos.
Finalmente, urjo a los lectores a que no sólo recurran a Windows Update para sus actualizaciones de seguridad, sino que también actualicen sus otras aplicaciones, como Adobe, Java y clientes.
ÚLTIMAS NOTICIAS: Parece que la infección masiva sobre la cual escribí fue el “postshock” después de la mayor infección masiva de los sitios ASP.NET que describimos hace algún tiempo. El artículo completo está aquí:
aquí.
Cuando analizamos la estadística, vemos que todavía sigue creciendo el número de exploits Java y estamos tratando de establecer si hay alguna conexión con la antigua infección o si estamos ante un fenómeno nuevo.
Suecia bajo ataque: ¡masiva infección y nuevos exploits!