Un ataque masivo de diseminación de malware empleando buscadores

Ya lo comentaban el pasado lunes los investigadores que están habitualmente al filo de la brecha en el mundo de la seguridad. Una de las compañías que advirtió lo que se nos venía encima fue Sunbelt, a la cual hay que agradecer que estén siempre en el candelero, adelantándose a prácticamente a todo el mundo y ofreciendo resultados de investigación útiles para todos. Gran parte de culpa la tiene Alex Eckelberry, CEO de Sunbelt, al que felicito personalmente por encarnar el perfil de lo que considero necesario cuando se quiere ser relevante en el mundo de la seguridad: transparencia, anticipación, utilidad, proactividad y saber trasladar sus ideas a todos los públicos. Good job, Alex.

malware

En líneas generales, se estaba gestando un ataque a gran escala (el cual no se descarta de reproduzca para más buscadores y con diferentes aproximaciones) en el que se pretendía distribuír malware masivamente empleando posicionamiento de páginas maliciosas en motores de búsqueda. Se confirma que se habían seleccionado como objetivos Google y Live Search, no descartándose que estos procesos de minado se hayan elaborado para más buscadores. Elegir Google y Live Search no es algo trivial, ya que el primero es el más empleado y el segundo es el que invocan muchas configuraciones de Windows en sus productos, con lo que acumula muchas peticiones de búsqueda.

Del spam al delito tecnológico

Hace poco hablamos de análisis de logs Apache, y vimos cómo se lo montan los spammers para introducir comentarios de spam en los blogs. Cuando se meten trackbacks y comentarios de spam en los blogs, se hace con un propósito y ese no es otro que dejar migas de pan a los buscadores.

Imaginemos que este artículo gusta a alguien, y ese alguien lo manda a un Barrapunto, un Menéame, o simplemente lo reproduce en su blog. Una cita es un puente entre contenidos, ya que citar implica que si un buscador araña los resultados de Barrapunto y allí hay un artículo de este blog referido, el buscador seguirá el enlace, y llegará a mi artículo. Si en mi artículo hay comentarios de spam, serán barridos por el buscador y por tanto, posicionados. Dejaremos a un lado el asunto de los enlaces nofollow, mecanismo para impedir este tipo de tránsitos, el cual prometo trataré en otro artículo.

Mediante estos vínculos, es posible, en función de los pesos de los referentes, conseguir posicionar los enlaces maliciosos en posiciones aventajadas. Esto provocará que un usuario que ni ha leído Barrapunto ni lea este blog, pueda terminar encontrando resultados en el buscador que le inviten a visitar una página determinada, como consecuencia del posicionamiento indirecto que los comentarios de spam pueden obtener a través de vínculos legítimos y deseados entre portales y blogs, o entre diferentes blogs. El problema viene cuando los usuarios llegan a esas páginas, ya que los amigos de lo ajeno no trabajan por amor al arte, y por tanto, es de prever lo que nos vamos a encontrar: malware en diversas presentaciones.

sunbelt

Y el malware, ya se sabe, lleva al delito tecnológico, y en algunos casos, por que no, al blanqueo de capitales. Ya sea para facilitar la integración de máquinas de usuarios en redes zombie, que posteriormente difundirán más spam entre los que habrá intentos de phishing, ofertas ilegales de trabajo para mulas … o bien sea troyanizando directamente la máquina del usuario para capturar sus credenciales: phishing vía troyanos, suplantación de identidad, extorsión a través del conocimiento de datos sensibles o creación de listas de spam segmentadas basándose en los perfiles de las credenciales de redes sociales sustraídos.

A consecuencia del ataque masivo al que hacíamos referencia, se estima que se han posicionado un total de 40.000 páginas albergando malware, con 27 dominios involucrados, totalizando del orden de unas 1500 landing pages por dominio malicioso. Ahí es nada.

Toda la información la tenéis en el artículo Update: Subverted search sites lead to massive malware attack in progress.

Mucho ojo cuando busqués contenidos. Sospechad siempre de páginas con nombres de dominio extraños, y nunca jamás aceptéis instalar componentes (ActiveX, barras de herramientas, codecs) de ninguna página que no sea de vuestra más absoluta confianza. Una herramienta que puede ayudaros a distinguir lo malicioso de lo legítimo es McAfee SiteAdvisor. Esta utilidad gratuíta informa al usuario sobre las páginas que visita, advirtiendo sobre los riesgos potenciales al visitar sitios que se consideren susceptiebles o sospechosos de gestar actividades relacionadas con el fraude. Por cierto, esto es lo que opina SiteAdvisor de mí :)

Un saludo,

4 comentarios sobre “Un ataque masivo de diseminación de malware empleando buscadores

  1. Hola Sergio:

    Uso el plugin gratuito McAfee SiteAdvisor, probablemente porque lo haya leído en tu blog hace tiempo ;-)

    Para los que no lo conocen, SiteAdvisor es como un semaforito que te ofrece indicios de cuándo te metes en barrios probablemente buenos (verdes), muy probablemente malos (rojos), regulares (amarillos) y desconocidos (grises). Todo esto basándose en datos históricos, los que a saber cada cuánto se actualizan (meses?)

    El caso es: a raiz de los ataques recientes de phishing y malware broadcasting, como la reseñada en Hispasec (http://www.hispasec.com/unaaldia/3317/ , «Ataque phishing a gran escala contra entidades bancarias españolas que además intenta troyanizar el sistema»), me ha llamado la atención una característica…

    «Los phishing suelen estar alojados en PÁGINAS LEGÍTIMAS COMPROMETIDAS, normalmente en algún directorio interno de la web. La estructura suele ser:

    http://www.XXXXX.ZZ/XXXX/s/(banco)»

    [creo que está claro lo que implica]

    Tampoco es nuevo, pero puede empezar a marcar tendencia. Vamos apañaos; los recursos a disposición de los «malos» van muy por delante de los «buenos», en esta película real.

  2. jcbarreto,

    El plugin funciona bastante bien, la verdad. No te da garantías de nada, pero ayudar ayuda. Lo recomiendo siempre para ayudar al usuario, pero dejando claro que no es la panacea que todo lo resuelve: el sentido común debe gobernar nuestro uso de Internet.

    Los malos suelen ir por delante, pero los buenos siempre estamos ahí para intentar que no se alejen mucho (y si podemos, adelantarlos) :)

    Saludos,

  3. Buenass

    Yo la barra que utilizo es la de netcraft que por lo que veo hace lo mismo que siteAdvisor de McAffe. Por poner alguna alternativa mas jej.
    Ahora que me acuerdo, la barra de netcraft también ‘te avisa’ de posibles fallos de seguridad, porque estaba haciendo pruebas sobre fallos xss y me los detecto!

    Un saludo

    Pd: la barra –> toolbar.netcraft.com

  4. jcbarreto,

    El plugin es una BASURA TOTAL. Tiene datos demasiado viejos, por eso las paginas que ya quitaron el malware tu no puedes entrar

Comentarios cerrados.