Por Christophe Alme, investigador principal del laboratorio líder de seguridad de mensajes, basado en Alemania y Tim Roddy, Director de Administración de Productos, basado en Estados Unidos, ambos de Secure Computing,
· La actividad del malware de origen Web, continúa escalando con un nuevo gusano que utiliza inyecciones iFrame y una vulnerabilidad MDAC para atacar sitios Web y causar daños vía infecciones a usuarios desprevenidos con el programa de malware Store.
· Justo cuando usted creía seguro asumir que el gusano Storm se había desvanecido y muerto, autores de malware están ahora activamente lanzando su ataque de inyección iFrame para infectar sitios Web legítimos y confiables.
· También de acuerdo con SANS ISC, un gusano ha contaminado servidores web con una inyección SQL, y 4,000 servidores ya han sido impactados. Una vez infectados, estos sitios web usan iFrames y una vieja vulnerabilidad de Real Player para comprometer a visitantes. SANS provee detalles aquí de los URLs usados como recursos del script inyectado y previene que los URLs deberían de ser bloqueados inmediatamente. [Nota: Estos URLs están activos y pueden dañar potencialmente una máquina visitante, así que por favor visítelos solo desde una máquina de laboratorio correctamente aislada y protegida]
Ataques SQL Injection iFrame
El Malware nacido en el Web, es el vector más popular usado por los delicuentes ciberneticos hoy en día. ¿Cuánto tiempo mas tiene que pasar para que los propietarios de sitios, se responsabilicen por el daño que causan a las PC de los visitantes a sus sitios, cuando ellos no lo han asegurado debidamente?
La implícita confianza que teníamos de visitar sitios web populares (así como motores de búsqueda) se ha ido. En este ambiente de ataques, ¿cuanto tiempo les tomará a las empresas permitir que sus usuarios internos naveguen libremente por el Internet, sin que tengan que inspeccionar el contenido que devuelven de los sitios web visitados por scripts maliciosos?
Basta simplemente con abrir el Puerto 80 para sus usuarios, aplicando una categoría basada en el filtro URL y no inspeccionar el contenido de regreso, para que sea irresponsable, al menos en el ambiente actual. Con todos los scripts de ataques automatizados siendo usados en forma natural y este gusano adicionado, típicamente en los sitios web populares/buenos, están siendo infectados a un ritmo de más de 1 cada 5 segundos.
El Storm Worm se arrastra sobre los IFRAMEs… ¡de nuevo!
Cuando hablamos del infame ataque “Storm Worm” , la mayoría de la gente piensa acerca de mensajes spam con ligas a los blogs o sitios web preparados, tratando de atraer a los inocentes usuarios para instalarles malware. Los autores de las tormentas son creativos con sus trucos de ingeniería social para asegurar que alguien no se les resista a las sorpresas que se les esperan.
No es muy conocido que los autores también tratan de navegar en la reciente IFRAME, con la intención de infectar sitios web legítimos e inocentes. Lo han hecho anteriormente y mientras usted lee esta nota un nuevo ataque IFRAME se esta llevando a cabo. Hemos tenido reportes, por ejemplo, de cómo el sitio Web del Aeropuerto Internacional de Valley fue comprometido.
Al tiempo que se escribe esta nota, la dirección del sitio web de aeropuerto es limpiado, pero el incidente puede ser repetido a través de una búsqueda de Google. Otros sitios web pueden acarrear el IFRAME con ellos. Algunas veces usted puede monitorear páginas que han sido infectadas en más de uno de sus IFRAME a la vez. En el siguiente ejemplo puede usted ver infecciones por el nuevo dominio Storm, mezclados con infecciones de un viejo dominio, sin existencia actual, usado en la Navidad del 2007.
El objetivo de los IFRAMEs apunta a un archivo PHP denominado “ind.php” el cual tiene diversos usos del buscador. Por lo que lo que el mecanismo de la infección del IFRAME, no descansa en técnicas de ingeniería social. Desde que los IFRAMEs son cargados por el buscador sin que el usuario se de cuenta, el proceso de la explotación es una clásica infección manipulada en computadoras sin parches.
La ofuscada explotación en la página trata de instalar un archivo llamado “load.php", el cual por si mismo, baja un ataque real de storm “load.exe” desde el mismo dominio. En resumen, puede decir que esto es solamente una forma menor de distribución para el Storm worm, comparada con los correos spam. Esta no esta tan propagada como otros ataques masivos a sitios web hoy día y algunos de los IFRAMEs inyectados parecen estar rotos e incompletos. Pero esto es solamente otro vector para su distribución; como una nota, parece que todas las IFRAMEs tienen una etiqueta ALT fija. No estamos seguros de porque utilizan esto, pues alguien puede fácilmente encontrar y ligar los dominios usados a Storm. Pero una especulación puede ser, que ellos – como los buscadores de seguridad – Google en estas series para ver que tan exitosa es su manera de distribución.
El Script usado, referenciado en este blog, esta detectado como “Script.Zhelatin.AT” por el motor Secure Anti-Malware. Así que siga cuidándose, el Storm parece ser que no se ha acabado – a lo mejor se esta preparando para el día de la Madre.
