Herramientas para construir sitios maliciosos
Por Moisés López (*)
Por lo menos uno de cada 6 sitios instalados por los delincuentes informáticos para robar información, es creado con un kit de herramientas para explotar vulnerabilidades, afirma un investigador experto en seguridad.
"Cerca del 15 por ciento de los sitios malévolos diseñados para robar información, tienen código del kit o una derivación del mismo," dijo Dan Hubbard, vicepresidente de investigación de Websense.
Aunque Websense comenzó a contabilizar los sitios que utilizan código de estas herramientas, apenas desde el pasado año, la proporción va en aumento, agregó Hubbard. A finales de 2005, solamente el 5 por ciento de los sitios en un muestreo pequeño utilizaban código del kit.
"En estos sitios no solo se venden los kit de herramientas," dijo. "También se venden servicios. Infectarán sitios Web por usted y recogerán los datos para usted. Lo llamo un 'servicio administrado de inseguridad'".
Los kit de herramientas más populares, son fabricados y vendidos por empresarios rusos, e incluyen al bien conocido "WebAttacker" y al menos familiar "Nuclear Grabber" (más conocido como "Haxdoor"). Los precios varían desde los 25 hasta los 2,500 dólares.
"Es interesante una encuesta que encontramos, donde los creadores de WebAttacker estaban preguntando a potenciales compradores, cuánto pagarían por la herramienta.", dice Hubbard. "Un tercio de los encuestados respondieron que pagarían de 100 a 300 dólares, mientras un 14 por ciento aceptaba pagar un poco más de 1,000 dólares."
Los creadores de estos juegos de herramientas, se jactan abiertamente de que su código puede evadir a los antivirus, y anuncian exploits para vulnerabilidades, corregidas o no, particularmente de Internet Explorer.
"Estos tipos prefieren sobre todo los exploits zero-day," dijo Hubbard. Uno de estos grupos, por ejemplo, fue el primero en explotar el bug en los archivos Windows Meta File (WMF), el pasado diciembre, mientras que los creadores de WebAttacker, saltaron en setiembre último, sobre la vulnerabilidad en la implementación VML (Vector Markup Language) de Microsoft Windows.
Las herramientas varían en sofisticación y en cómo son utilizadas. WebAttacker, por ejemplo, es una colección de múltiples exploits, y viene con las instrucciones para insertar el código malicioso en sitios Web. Nuclear Grabber, por otra parte, a menudo aparece junto a WebAttacker --el último se utiliza para instalar un rootkit como un objeto BHO (Browser Helper Object) en una PC vulnerable-- y puede interceptar cualquier información ingresada en cualquier formulario Web, y enviarla no sólo al verdadero (y legítimo) destinatario, sino también al delincuente.
Existe incluso un kit para los piratas del phishing, llamado "Rock Phish Kit", que apunta a aquellos ciber ladrones que no saben construir por si mismos un sitio Web falso. La herramienta, detectada por Websense en noviembre de 2005, cuando se comenzó a vender, solo ofrecía dos o tres sitios falsos, pero ahora es un paquete con 15 o 20 sitios ya prontos, que pueden ser alojados en un solo servidor.
El resultado de la venta de esta herramienta, ha sido el aumento de los sitios malévolos, y una mayor rapidez para explotar las vulnerabilidades no corregidas, dijo Hubbard.
Aún más preocupante es el hecho que estos mismos kits no solo son utilizados para infectar computadoras de los usuarios, sino también servidores de Internet. Un 40 por ciento de estos sitios, roban la información y las identidades de las máquinas comprometidas. Incluso algunas de estas herramientas, se ejecutan en sitios legítimos. "Es realmente un problema," dijo Hubbard. "Hay toneladas de exploits del lado de los usuarios, pero también están atacando vulnerabilidades del lado de los servidores."
El consejo para navegar por sitios Web conocidos, manteniéndose alejado de los "malos vecindarios" --sitios de pornografía, software libre dudoso, protectores de pantallas y cosas por el estilo--, no hace ningún bien a los usuarios si son URLs legítimas las que se están utilizando para distribuir exploits.
"Los tipos malos están haciéndose cada vez más profesionales," dijo Hubbard, "y eso los hace más difícil de detener."
El informe de la seguridad de Websense en la primera mitad de 2006 puede ser descargado del sitio web de la compañía como un archivo de PDF (http://www.websense.com/welcome/SecurityTrendReport/).
* Relacionados:
Los criminales explotan sitios legítimos
http://www.vsantivirus.com/na-07-10-06.htm
La criminalidad informática se traslada a la Web
http://www.vsantivirus.com/mm-criminalidad-web.htm
¿Confiar en sitios confiables?
http://www.vsantivirus.com/eb-11-09-06.htm
Los motores de búsqueda como medio de difusión de contenidos fraudulentos
http://www.hispasec.com/unaaldia/2775
Páginas "de confianza" como fuente de troyanos
http://www.hispasec.com/unaaldia/2829
* Fuente:
Beware Malicious Sites As Hacker Kit Use Explodes
http://internetweek.cmp.com/news/193104142;jsessionid=T3TMZLLB2SRUEQSNDLPSKH0CJUNN2JVN
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=682
___
Por lo menos uno de cada 6 sitios instalados por los delincuentes informáticos para robar información, es creado con un kit de herramientas para explotar vulnerabilidades, afirma un investigador experto en seguridad.
"Cerca del 15 por ciento de los sitios malévolos diseñados para robar información, tienen código del kit o una derivación del mismo," dijo Dan Hubbard, vicepresidente de investigación de Websense.
Aunque Websense comenzó a contabilizar los sitios que utilizan código de estas herramientas, apenas desde el pasado año, la proporción va en aumento, agregó Hubbard. A finales de 2005, solamente el 5 por ciento de los sitios en un muestreo pequeño utilizaban código del kit.
"En estos sitios no solo se venden los kit de herramientas," dijo. "También se venden servicios. Infectarán sitios Web por usted y recogerán los datos para usted. Lo llamo un 'servicio administrado de inseguridad'".
Los kit de herramientas más populares, son fabricados y vendidos por empresarios rusos, e incluyen al bien conocido "WebAttacker" y al menos familiar "Nuclear Grabber" (más conocido como "Haxdoor"). Los precios varían desde los 25 hasta los 2,500 dólares.
"Es interesante una encuesta que encontramos, donde los creadores de WebAttacker estaban preguntando a potenciales compradores, cuánto pagarían por la herramienta.", dice Hubbard. "Un tercio de los encuestados respondieron que pagarían de 100 a 300 dólares, mientras un 14 por ciento aceptaba pagar un poco más de 1,000 dólares."
Los creadores de estos juegos de herramientas, se jactan abiertamente de que su código puede evadir a los antivirus, y anuncian exploits para vulnerabilidades, corregidas o no, particularmente de Internet Explorer.
"Estos tipos prefieren sobre todo los exploits zero-day," dijo Hubbard. Uno de estos grupos, por ejemplo, fue el primero en explotar el bug en los archivos Windows Meta File (WMF), el pasado diciembre, mientras que los creadores de WebAttacker, saltaron en setiembre último, sobre la vulnerabilidad en la implementación VML (Vector Markup Language) de Microsoft Windows.
Las herramientas varían en sofisticación y en cómo son utilizadas. WebAttacker, por ejemplo, es una colección de múltiples exploits, y viene con las instrucciones para insertar el código malicioso en sitios Web. Nuclear Grabber, por otra parte, a menudo aparece junto a WebAttacker --el último se utiliza para instalar un rootkit como un objeto BHO (Browser Helper Object) en una PC vulnerable-- y puede interceptar cualquier información ingresada en cualquier formulario Web, y enviarla no sólo al verdadero (y legítimo) destinatario, sino también al delincuente.
Existe incluso un kit para los piratas del phishing, llamado "Rock Phish Kit", que apunta a aquellos ciber ladrones que no saben construir por si mismos un sitio Web falso. La herramienta, detectada por Websense en noviembre de 2005, cuando se comenzó a vender, solo ofrecía dos o tres sitios falsos, pero ahora es un paquete con 15 o 20 sitios ya prontos, que pueden ser alojados en un solo servidor.
El resultado de la venta de esta herramienta, ha sido el aumento de los sitios malévolos, y una mayor rapidez para explotar las vulnerabilidades no corregidas, dijo Hubbard.
Aún más preocupante es el hecho que estos mismos kits no solo son utilizados para infectar computadoras de los usuarios, sino también servidores de Internet. Un 40 por ciento de estos sitios, roban la información y las identidades de las máquinas comprometidas. Incluso algunas de estas herramientas, se ejecutan en sitios legítimos. "Es realmente un problema," dijo Hubbard. "Hay toneladas de exploits del lado de los usuarios, pero también están atacando vulnerabilidades del lado de los servidores."
El consejo para navegar por sitios Web conocidos, manteniéndose alejado de los "malos vecindarios" --sitios de pornografía, software libre dudoso, protectores de pantallas y cosas por el estilo--, no hace ningún bien a los usuarios si son URLs legítimas las que se están utilizando para distribuir exploits.
"Los tipos malos están haciéndose cada vez más profesionales," dijo Hubbard, "y eso los hace más difícil de detener."
El informe de la seguridad de Websense en la primera mitad de 2006 puede ser descargado del sitio web de la compañía como un archivo de PDF (http://www.websense.com/welcome/SecurityTrendReport/).
* Relacionados:
Los criminales explotan sitios legítimos
http://www.vsantivirus.com/na-07-10-06.htm
La criminalidad informática se traslada a la Web
http://www.vsantivirus.com/mm-criminalidad-web.htm
¿Confiar en sitios confiables?
http://www.vsantivirus.com/eb-11-09-06.htm
Los motores de búsqueda como medio de difusión de contenidos fraudulentos
http://www.hispasec.com/unaaldia/2775
Páginas "de confianza" como fuente de troyanos
http://www.hispasec.com/unaaldia/2829
* Fuente:
Beware Malicious Sites As Hacker Kit Use Explodes
http://internetweek.cmp.com/news/193104142;jsessionid=T3TMZLLB2SRUEQSNDLPSKH0CJUNN2JVN
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=682
___
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!