Miles de Webs infectadas por un sofisticado ataque cuyos logros se almacenan en España

Se ha detectado un avanzado ataque de hacking que afecta a una cantidad de servidores Web en aumento, incluidos algunos de los de las principales compañías de publicidad online, según ha informado el máximo responsable de tecnología de Finjan Software. La información conseguida por los atacantes se almacena en servidores ubicados en España.

Yuval Ben-Itzhak, CTO (Chief Technology Officer) de Finjan Software, ha advertido de sobre un sofisticado ataque de software que a finales de diciembre había infectado ya 10.000 páginas Web. Parece que detrás del ataque se encontrara una banda de hacking particular, dado que el software malicioso que difunde almacena los nombres de usuarios y contraseñas en un servidor ubicado en nuestro país, según Ben-Itzhak, quien ha bautizado al ataque con el nombre de “random js Trojan”.

El servidor Web de una compañía de publicidad online que sirve 14 millones de banners a otros sitios se encuentra entre los hackeados, ha asegurado el CTO de Finjan. Si un usuario visita un sitio legítimo que hospede uno de estos banners, su PC, en caso de no tener al día los parches de seguridad, podría resultar infectado. “Teniendo esto en cuenta, no es difícil imaginar la magnitud del problema”, subraya Ben-Itzhak. Una vez hackeado, un servidor Web con cientos de sitios Web hospedados servirá a todos ellos el código de ataque, aumentando así exponencialmente la magnitud de la infección.

El ataque ha sido estructurado utilizando JavaScript, de forma que el código sólo se sirve una única vez a cada PC, lo que ayuda a evadir los repetidos tests de los servicios de escaneo de los suministradores de seguridad. Además, los hackers almacenan las direcciones IP de los sistemas utilizados por los motores de búsqueda y servicios de reputación que evalúan el riesgo de visitar determinados sitios Web. Después esas peticiones de páginas son servidas con contenido legítimo.

Buscando el punto más débil
Una vez en el sistema de la víctima, el malware buscará entonces al menos trece vulnerabilidades software diferentes con el fin de aprovecharlas para introducir un troyano sobre el PC del usuario. Ya infectada la máquina, el malware podrá empezar a recopilar datos sobre ella, como documentos y contraseñas.

El JavaScript que inicia la explotación cambia dinámicamente, lo que dificulta su detección por el software de seguridad antivirus tradicional. Finjan ofrece un plug-in para navegador, denominado SecureBrowsing, que analiza el contenido de una página Web en el momento que es servida, buscando pistas sobre la posible existencia de código malicioso y advirtiendo a los usuarios en caso de detectarlas. Además, comercializa un dispositivo de nivel empresarial con su tecnología de escaneo.

Pero Finjan no es el único suministrador que ofrece este tipo de tecnología. Exploit Prevention Labs, recientemente comprada por la firma de seguridad AVG, también comercializa un producto denominado LinkScanner, que analiza el contenido de las páginas Web en búsqueda de malware. MacAfee, por su parte, ha desarrollado el producto LinkScanner, que puntúa en relación con una escala predefinida el “estado de salud” de cada sitio Web. Todos estos fabricantes ofrecen versiones gratuitas de sus productos.

Whitepaper emc-cio-it-as-a-service-wp Whitepapers