Aunque creamos estar navegando por una página web legítima, debemos extremar nuestras medidas de seguridad, dado que más de 40000 sitios web fueron infectados por un ataque masivo denominado Nine Balls, que redirecciona a otros websites e instala en las PCs un troyano y un keylogger.
Según Websense, Nine Balls identifica al visitante por su dirección IP para descubrir si es repetidor. Si detecta que así es, y para evitar que los investigadores de seguridad vuelvan a entrar, la página en cuestión derivará al visitante repetidor al motor de búsquedas Ask.com.
“Ask.com no contiene nada malicioso, los atacantes sólo te mandan allí si ya te vieron antes”, aclaró Stephan Chenette, director de investigación de seguridad de Websense. Además el ejecutivo señaló que este tipo de inspección y redireccionamiento se está convirtiendo en algo común en los ataques web para evadir la posibilidad de que puedan ser identificados.
No obstante, si un visitante es nuevo, pasa por unas cuantas redirecciones para terminar aterrizando en el site www.nine2rack.in, que parece una página de la India pero en realidad está alojada en Ucrania, de acuerdo a las estimaciones de Websense.
A su vez, el destino final de las víctimas incluye un intento de descarga drive-by después de que el malware revise las vulnerabilidades del navegador y del software Adobe o Quicktime instalado en el equipo del usuario.
“Este tipo de amenazas no necesita que los usuarios hagan click en un enlace y sigan un hilo. Con un ataque tipo drive-by, no se requiere engañar al internauta. Simplemente cuando visita su página web favorita será infectado por el malware cargado por otro”, destacó Anup Ghosh, profesor investigador y científico jefe de el Centro de Sistemas de Información Segura (CSIS) de la Universidad George Mason.
Si tiene éxito, el ataque descargará un troyano con un componente de keylogger que muchos paquetes de software antivirus aún no identifican: “Estos troyanos tienen un bajo índice de detección”, expresó Chenette. “Muchos son polimórficos o se crean en el momento”.
Además, hay cierto número de fallos de seguridad que pueden ayudar a Nine Balls a comprometer la fiabilidad de las páginas de Internet, incluyendo ataques de inyección SQL en websites susceptibles, así como bots que han robado las claves del usuario y los logins de los administradores de páginas web.
Otros dos métodos de ataque masivo observados últimamente en la red son Beladen y Gumblar, y aunque el exploit Nine Balls es distinto a ellos, desde Websense consideran que es posible que tras él estén los mismos instigadores.
matiasiacono te agradeceria mucho si me dijeras donde, de todas maneras yo voy a buscar, estoy leyendo varios libros sobre seguridad, pero no nombran donde bajr codigo fuente para comprender su funcionamiento, te dejo mi mail [email protected] si quieres mandmelo por mail, te lo agradeceria mucho
Medias a tomar a demas de chequear los ips de los sitios????.
Algún programa que recomienden para verificar si estamos infectados……
Gab24. La mejor forma de saber como funcionan es bajarse el codigo e inspeccionarlo. Muchas veces son archivos tan basicos que son creados con scripts auto ejecutables y no por grandes maquinarias binarias, y monstruosas compilaciones. El mundo de la seguridad, y mas el que esta enfocado a la Web resulta mucho mas simple, el de poder generar este tipos de virus que el de los sistemas de escritorio en si. Lamentablemente la Web posee algunos problemas desde su concepcion, los que brindan la posibilidad de este tipo de ataques. En este momento no tengo una direccion de donde bajar codigo fuente de estos virus, pero puedo volver a buscar. Claro, estos son un poco mas simplones, pero te dan la posibilidad de entender el patron de creacion de los mismos.
Estaria bueno saber si son solo para SO windows, ademas tengo que admitir que es muy interesante la forma de infeccion y creacion de los troyanos. Alguno sabe de donde sacar informacion para poder comprender su funcionamiento?
Mi pre3gunta es; si tengo en mi equipo (netbook Acer one) Esset nod32 mas SpySearch nd Destroy y los aplico periodicamente, ¿estoy protegido frente a estos ataques?. Muchas Gracias
Estos malawares/troyanos etc, ¿afectan también a Linux y MAC?
gracias, saludos