Aunque creamos estar navegando por una página web legítima, debemos extremar nuestras medidas de seguridad, dado que más de 40000 sitios web fueron infectados por un ataque masivo denominado Nine Balls, que redirecciona a otros websites e instala en las PCs un troyano y un keylogger.
Según Websense, Nine Balls identifica al visitante por su dirección IP para descubrir si es repetidor. Si detecta que así es, y para evitar que los investigadores de seguridad vuelvan a entrar, la página en cuestión derivará al visitante repetidor al motor de búsquedas Ask.com.
“Ask.com no contiene nada malicioso, los atacantes sólo te mandan allí si ya te vieron antes”, aclaró Stephan Chenette, director de investigación de seguridad de Websense. Además el ejecutivo señaló que este tipo de inspección y redireccionamiento se está convirtiendo en algo común en los ataques web para evadir la posibilidad de que puedan ser identificados.
No obstante, si un visitante es nuevo, pasa por unas cuantas redirecciones para terminar aterrizando en el site www.nine2rack.in, que parece una página de la India pero en realidad está alojada en Ucrania, de acuerdo a las estimaciones de Websense.
A su vez, el destino final de las víctimas incluye un intento de descarga drive-by después de que el malware revise las vulnerabilidades del navegador y del software Adobe o Quicktime instalado en el equipo del usuario.
“Este tipo de amenazas no necesita que los usuarios hagan click en un enlace y sigan un hilo. Con un ataque tipo drive-by, no se requiere engañar al internauta. Simplemente cuando visita su página web favorita será infectado por el malware cargado por otro”, destacó Anup Ghosh, profesor investigador y científico jefe de el Centro de Sistemas de Información Segura (CSIS) de la Universidad George Mason.
Si tiene éxito, el ataque descargará un troyano con un componente de keylogger que muchos paquetes de software antivirus aún no identifican: “Estos troyanos tienen un bajo índice de detección”, expresó Chenette. “Muchos son polimórficos o se crean en el momento”.
Además, hay cierto número de fallos de seguridad que pueden ayudar a Nine Balls a comprometer la fiabilidad de las páginas de Internet, incluyendo ataques de inyección SQL en websites susceptibles, así como bots que han robado las claves del usuario y los logins de los administradores de páginas web.
Otros dos métodos de ataque masivo observados últimamente en la red son Beladen y Gumblar, y aunque el exploit Nine Balls es distinto a ellos, desde Websense consideran que es posible que tras él estén los mismos instigadores.