Campaña de Antivirus fraudulento infecta a más de 200.000 páginas web
Investigadores de Websense han detectado una extensa campaña de antivirus falso (rogue) que afecta a más de 200.000 páginas web y cerca de 30.000 anfitriones web únicos.
El ataque ha infectado un gran número de sitios web con varias versiones de WordPress instalado. Cuando una víctima visita uno de los sitios infectados es redirigido a un sitio que aloja un falso antivirus. Si la persona descarga el programa, entonces se instala un troyano en su computadora.
El código inyectado es muy corto, y es colocado al final de la página justo antes de la etiqueta </body>:
"Es difícil estimar el número de usuarios afectados", explica Elad Sharf, investigador de seguridad senior líder en Websense Security Labs. "Lo que es interesante notar es que más del 85% de los sitios comprometidos estan en Estados Unidos, mientras que los visitantes de esos sitios están más dispersos geográficamente. El ataque podría ser específico para los EE.UU. pero todos están en riesgo cuando visitan esas páginas comprometidas."
Según Websense, el falso sitio de antivirus parece correr un escaneo en la computadora y muestra detecciones falsas de malware en un intento de engañar al usuario para que descargue el programa. La página parece una ventana del explorador de Windows y tiene una caja de dialogo de "Windows Security Alert" en ella.
"Usualmente en este tipo de inyecciones masivas, las vulnerabilidades o agujeros de seguridad en ciertas versiones y sus infraestructuras que la acompañan son abusadas para conseguir un acceso inicial a esos sitios web," dice Sharf. "Por eso después que este acceso es sostenido en el sitio web comprometido, el código inyectado se mantiene actualizado periódicamente, por ejemplo en cada nuevo ciclo de inyecciones masivas."
Websense no sabe quien puede esta detrás de esta campaña, pero señalaron que debido a que WordPress es tan ampliamente usado en el mundo, cada versión de este es estudiada y explotada por los hackers, dijo el investigador.
El nombre de detección del troyano/falso AV varía ya que los cibercriminales se manteienen actualizando e instalando binarios para evitar la detección. Parece que la mayoría de los investigadores usan un nombre genérico para la detección de esta amenaza, pero algunos pueden dar nombres más específicos (nombres típicos pueden ser Fakealert, Virtool o Riskware), le dijo Websense a DarkReading.com
"Esencialmente lo que esto significa para el bloguero diario es que su sitio está siendo secuestrado," dijo Sharf. "El usuario que busca ver el sitio de un bloguero es redirigido a un sitio de un antivirus falso, que parece realizar un escaneo de la computadora y asustar al usuario mostrándole detecciones falsas de malware, de varios tipos de troyanos. El falso AV luego insta al visitante a descargar y ejecutar su 'herramienta antivirus' para eliminar los supuestos troyanos detectados. El ejecutable [descargado] es en si mismo un Troyano. El bloguero seguirá viendo tráfico en su sitio, pero los usuarios nunca llegarán allí ya que son inmediatamente redirigidos al sitio del AV falso lo que significa que el contenido [del blog] nunca fue visto."
Traducción: Raúl Batista - Segu-Info
Fuente: DarkReading y WebSense
El ataque ha infectado un gran número de sitios web con varias versiones de WordPress instalado. Cuando una víctima visita uno de los sitios infectados es redirigido a un sitio que aloja un falso antivirus. Si la persona descarga el programa, entonces se instala un troyano en su computadora.
El código inyectado es muy corto, y es colocado al final de la página justo antes de la etiqueta </body>:
"Es difícil estimar el número de usuarios afectados", explica Elad Sharf, investigador de seguridad senior líder en Websense Security Labs. "Lo que es interesante notar es que más del 85% de los sitios comprometidos estan en Estados Unidos, mientras que los visitantes de esos sitios están más dispersos geográficamente. El ataque podría ser específico para los EE.UU. pero todos están en riesgo cuando visitan esas páginas comprometidas."
"Usualmente en este tipo de inyecciones masivas, las vulnerabilidades o agujeros de seguridad en ciertas versiones y sus infraestructuras que la acompañan son abusadas para conseguir un acceso inicial a esos sitios web," dice Sharf. "Por eso después que este acceso es sostenido en el sitio web comprometido, el código inyectado se mantiene actualizado periódicamente, por ejemplo en cada nuevo ciclo de inyecciones masivas."
Websense no sabe quien puede esta detrás de esta campaña, pero señalaron que debido a que WordPress es tan ampliamente usado en el mundo, cada versión de este es estudiada y explotada por los hackers, dijo el investigador.
El nombre de detección del troyano/falso AV varía ya que los cibercriminales se manteienen actualizando e instalando binarios para evitar la detección. Parece que la mayoría de los investigadores usan un nombre genérico para la detección de esta amenaza, pero algunos pueden dar nombres más específicos (nombres típicos pueden ser Fakealert, Virtool o Riskware), le dijo Websense a DarkReading.com
"Esencialmente lo que esto significa para el bloguero diario es que su sitio está siendo secuestrado," dijo Sharf. "El usuario que busca ver el sitio de un bloguero es redirigido a un sitio de un antivirus falso, que parece realizar un escaneo de la computadora y asustar al usuario mostrándole detecciones falsas de malware, de varios tipos de troyanos. El falso AV luego insta al visitante a descargar y ejecutar su 'herramienta antivirus' para eliminar los supuestos troyanos detectados. El ejecutable [descargado] es en si mismo un Troyano. El bloguero seguirá viendo tráfico en su sitio, pero los usuarios nunca llegarán allí ya que son inmediatamente redirigidos al sitio del AV falso lo que significa que el contenido [del blog] nunca fue visto."
Traducción: Raúl Batista - Segu-Info
Fuente: DarkReading y WebSense
No olviden usar addons como NoScript para Firefox que evita esas cosas.
ResponderBorrarSaludos,
AnonimoK