Español | English
rss facebook linkedin Twitter

Drive-by Downloads

Hace tiempo ya se comento el tema de los Drive-by downloads en este blog haciendo referencia a si un sistema era más o menos seguro en función de los privilegios que contaba un usuario.

Hoy vamos a comentar como funciona este tema de las descargas inadvertidas que tanto se popularizo en 2008 y que ha puesto en pie de guerra a los administradores de sitios Web haciendo que cada vez estén más atentos e informados en amenazas de seguridad, aunque la lucha es dura, los cibercriminales andan siempre un paso por delante dado que siempre están buscando nuevas técnicas para garantizar la supervivencia de su negocio.

Y, ahora nos preguntamos: “Como puede un cibercriminal inyectar malware en mi sitio Web?”, curiosa pregunta que se hacen los administradores de sites, pues bien, una de las respuestas más sencillas es, cómo no, Google.

Gracias al buscador, podemos identificar cuáles son los sitios Web más populares y, una vez recopilada una lista bastante amplia, buscar vulnerabilidades dentro de ellos, aquellas que las tengan más críticas son verdaderos jardines de scripts modificados del propio site (se considera mucho más útil modificar un script que agregar código en forma de nuevos archivos o de usar código ofuscado).

En el momento en el que se detecta una vulnerabilidad en una Web, se introducen nuevos parámetros en los que se incluye la función --referer=http://www.google.com/. Una vez que se accede a la pagina, la función completa revisa de dónde viene el visitante del sitio infectado, y, si había usado un enlace de Google, entonces se lo redirige a varios sitios nocivos que no tienen nada que ver con el que el usuario quería visitar. ¿El resultado? Un equipo infectado.

Este ejemplo de Google también es aplicable a otros buscadores como Yahoo!, Astalavista, Alltheweb, AOL, msn…

El funcionamiento de este tipo de malware normalmente se basa en la apertura de otras páginas en el navegador Web de las víctimas, que los redirige a un servidor Web malicioso que intenta instalar código en el equipo.

En algunos casos, el malware no se instala directamente si no que se realiza junto con una utilidad solicitada, por ejemplo, un archivo compartido puede incluir malware que rastrea la información del usuario y la envía para fines de bombardeo de marketing en forma de pop-ups generados. Y en muchos casos, este tipo de infecciones lo que hacen es conectar con botnets, convirtiendo los equipos en zombies que pueden ser usados para enviar spam o realizar ataques DDoS.

Ejemplo de codigo inyectado

A pesar de lo que contrariamente se piensa, un estudio del director de investigación de seguridad para Grisoft, demuestra que el dejar de visitar sitios de contenido para adultos disminuye ligeramente el peligro a ser expuesto por este tipo de malware, aunque realmente no existe una gran diferencia, y ahí podemos ver el caso de que en el 2008 se comprometieron sitios como el de Al Gore, los Miami Dolphin, y hace apenas un mes, los ojos se han centrado en los sites en los que se rendía tributo a Michael Jackson, con lo que, este tipo de ataques hacen que sitios aparentemente inofensivos, acaben formando parte de las listas negras de los productos de seguridad.

También es cierto que no solo las webs con mayor número de visitas son víctimas de estos ataques, sino que también se están dirigiendo a sitios de productos de seguridad, como por ejemplo, el popular XP Antivirus 2008, en el que, el propio servidor de esta página, ejecutara el programa Antivirus 2010 en el equipo, basándose en la confianza de los usuarios por paginas que estima seguras y haciendo que se comprometa totalmente el equipo.

La técnica de los cibercriminales se basa principalmente en la ingeniería social, puesto que se apoyan en el comportamiento humano normal de apresurarse a pinchar en los enlaces Web para acceder a la información lo más rápido posible, este deseo de rápido conocimiento es lo que realmente pone en peligro la seguridad del usuario.

Una navegación más consciente, probablemente reduciría en gran medida este problema que invade nuestra vida en la red.


Elvira Rodríguez de la Hera
S21sec e-crime


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login