Un ataque masivo de diseminación de malware empleando buscadores

Ya lo comentaban el pasado lunes los investigadores que están habitualmente al filo de la brecha en el mundo de la seguridad. Una de las compañías que advirtió lo que se nos venía encima fue Sunbelt, a la cual hay que agradecer que estén siempre en el candelero, adelantándose a prácticamente a todo el mundo y ofreciendo resultados de investigación útiles para todos. Gran parte de culpa la tiene Alex Eckelberry, CEO de Sunbelt, al que felicito personalmente por encarnar el perfil de lo que considero necesario cuando se quiere ser relevante en el mundo de la seguridad: transparencia, anticipación, utilidad, proactividad y saber trasladar sus ideas a todos los públicos. Good job, Alex.

malware

En líneas generales, se estaba gestando un ataque a gran escala (el cual no se descarta de reproduzca para más buscadores y con diferentes aproximaciones) en el que se pretendía distribuír malware masivamente empleando posicionamiento de páginas maliciosas en motores de búsqueda. Se confirma que se habían seleccionado como objetivos Google y Live Search, no descartándose que estos procesos de minado se hayan elaborado para más buscadores. Elegir Google y Live Search no es algo trivial, ya que el primero es el más empleado y el segundo es el que invocan muchas configuraciones de Windows en sus productos, con lo que acumula muchas peticiones de búsqueda.

Del spam al delito tecnológico

Hace poco hablamos de análisis de logs Apache, y vimos cómo se lo montan los spammers para introducir comentarios de spam en los blogs. Cuando se meten trackbacks y comentarios de spam en los blogs, se hace con un propósito y ese no es otro que dejar migas de pan a los buscadores.

Imaginemos que este artículo gusta a alguien, y ese alguien lo manda a un Barrapunto, un Menéame, o simplemente lo reproduce en su blog. Una cita es un puente entre contenidos, ya que citar implica que si un buscador araña los resultados de Barrapunto y allí hay un artículo de este blog referido, el buscador seguirá el enlace, y llegará a mi artículo. Si en mi artículo hay comentarios de spam, serán barridos por el buscador y por tanto, posicionados. Dejaremos a un lado el asunto de los enlaces nofollow, mecanismo para impedir este tipo de tránsitos, el cual prometo trataré en otro artículo.

Mediante estos vínculos, es posible, en función de los pesos de los referentes, conseguir posicionar los enlaces maliciosos en posiciones aventajadas. Esto provocará que un usuario que ni ha leído Barrapunto ni lea este blog, pueda terminar encontrando resultados en el buscador que le inviten a visitar una página determinada, como consecuencia del posicionamiento indirecto que los comentarios de spam pueden obtener a través de vínculos legítimos y deseados entre portales y blogs, o entre diferentes blogs. El problema viene cuando los usuarios llegan a esas páginas, ya que los amigos de lo ajeno no trabajan por amor al arte, y por tanto, es de prever lo que nos vamos a encontrar: malware en diversas presentaciones.

sunbelt

Y el malware, ya se sabe, lleva al delito tecnológico, y en algunos casos, por que no, al blanqueo de capitales. Ya sea para facilitar la integración de máquinas de usuarios en redes zombie, que posteriormente difundirán más spam entre los que habrá intentos de phishing, ofertas ilegales de trabajo para mulas … o bien sea troyanizando directamente la máquina del usuario para capturar sus credenciales: phishing vía troyanos, suplantación de identidad, extorsión a través del conocimiento de datos sensibles o creación de listas de spam segmentadas basándose en los perfiles de las credenciales de redes sociales sustraídos.

A consecuencia del ataque masivo al que hacíamos referencia, se estima que se han posicionado un total de 40.000 páginas albergando malware, con 27 dominios involucrados, totalizando del orden de unas 1500 landing pages por dominio malicioso. Ahí es nada.

Toda la información la tenéis en el artículo Update: Subverted search sites lead to massive malware attack in progress.

Mucho ojo cuando busqués contenidos. Sospechad siempre de páginas con nombres de dominio extraños, y nunca jamás aceptéis instalar componentes (ActiveX, barras de herramientas, codecs) de ninguna página que no sea de vuestra más absoluta confianza. Una herramienta que puede ayudaros a distinguir lo malicioso de lo legítimo es McAfee SiteAdvisor. Esta utilidad gratuíta informa al usuario sobre las páginas que visita, advirtiendo sobre los riesgos potenciales al visitar sitios que se consideren susceptiebles o sospechosos de gestar actividades relacionadas con el fraude. Por cierto, esto es lo que opina SiteAdvisor de mí :)

Un saludo,

Network Ubuntu (nUbuntu). Un sabor de Ubuntu orientado a seguridad informática

Buenas,

Una referencia a uno de los sabores de Ubuntu menos conocidos: nUbuntu

nubuntu

Os recuerdo que nUbuntu, además de poder descargarse libremente, es parte de SecureDVD. La lista completa de paquetes instalados está disponible aquí.