Continúan las inyecciones de malware en sitios webs legítimos

La utilización de páginas web legítimas con vulnerabilidades como plataforma desde las cuales difundir malware se ha popularizado enormemente en los últimos meses. Son ya varios los casos similares que hemos tratado en este blog, y también en el ranking mensual de amenazas vemos cómo la inyección de código en sus diferentes variantes copa los primeros puestos.

Sabedores de las ventajas que este vector de ataque presenta, los ciberdelincuentes no cesan en su empeño de crear nuevas amenazas y difundirlas para afectar al máximo número de usuarios. Durante el día de ayer observamos en el laboratorio cómo se propagaba otra campaña de spam con enlaces a sitios web legítimos, pero que habían sido manipulados para albergar malware. En esta ocasión, el correo simulaba ser una queja de un cliente enviada a través de una supuesta agencia para la mejora de los negocios.

En ese correo se nos resaltaba un enlace que supuestamente iba a contener la queja del usuario, pero que al pulsar sobre él nos redirige a una web en la que solo se nos muestra un mensaje de espera…

…O al menos es lo que parece, puesto que, mientras el usuario espera acceder a esa supuesta queja, en realidad se está ejecutando código en segundo plano. Si analizamos el código fuente de la web vemos que además del inocente aviso hay algo más en forma de código ofuscado.

Este código redirige al usuario de forma transparente a dos enlaces del dominio mynourigen.net, que de por sí no debería presentar ninguna amenaza (y muestra un error 404 si intentamos acceder a él) pero que sí contiene dos archivos maliciosos en dos ubicaciones del servidor donde se aloja esta web. Estos dos archivos representan la verdadera amenaza e intentan aprovecharse de sistemas sin actualizar para usar dos vulnerabilidades conocidas en beneficio propio y ejecutar malware en el sistema del usuario.

La primera de estas vulnerabilidades es la conocida como CVE-2010-1885 y afecta al Sistema de Ayuda y Soporte de Microsoft Windows. Se trata de una vulnerabilidad de mediados de 2010 y, en caso de que nuestro sistema no esté parcheado, se descargará una amenaza que las soluciones de seguridad de ESET identifican como un troyano JS/Kryptik.JY.

En caso de no contar con esa vulnerabilidad en nuestro sistema, se intenta hacer uso de otra (también de 2010), la CVE-2010-0188, que afecta a versiones de Adobe Reader 8.x anteriores a la 8.2.1 y Adobe Acrobat 9.x anteriores a la 9.3.1. En este caso se intenta descargar un archivo PDF malicioso que contiene la amenaza que las soluciones de seguridad de ESET identifican como el troyano JS/Exploit.Pdfka.PIX.

Este es solo un ejemplo de los múltiples intentos de infectar los sistemas de los usuarios que los ciberdelincuentes vienen realizando desde hace meses, usando para ello sitios webs legítimos. Se aprovechan de blogs con versiones desactualizadas del gestor de contenidos como WordPress o de webs con un mantenimiento pobre y con múltiples agujeros de seguridad.

Es por ello que desde el laboratorio de ESET en Ontinet.com recomendamos ignorar este tipo de correos no solicitados y desconfiar de aquellos enlaces a webs que, aunque sean legítimas y no estén incluidas en las listas negras, nos son enviadas empleando este u otros métodos, como puedan ser enlaces en redes sociales o mediante mensajería instantánea.

Josep Albors

@JosepAlbors

Microsoft soluciona un fallo crítico en la implementación de RDP