Desde hace unos meses venimos avisando en este mismo blog del creciente aprovechamiento de vulnerabilidades en Java para propagar malware. Si, hasta mediados de este año los productos de Adobe y sus constantes vulnerabilidades eran uno de los principales agujeros de seguridad que afectaban a los usuarios, ahora podemos decir lo mismo de Java. Algunos expertos de seguridad han alertado sobre una nueva amenaza que inyecta código en páginas webs legítimas y envía a los usuarios que las visiten a una descarga de un applet malicioso de Java que contiene un malware.
La propagación de este malware es bastante elaborada puesto que consta de diferentes etapas. Primero se inyecta código fuente malicioso en páginas webs con vulnerabilidades. Cuando un usuario visita alguna de estas webs con su navegador, hace que se cargue un IFrame falso, llevando a los usuarios a una nueva página web. En esta nueva página es donde se carga un applet de Java oculto con el nombre de “Java Update” que actúa como pasarela de descarga y ejecución del archivo malicioso host.exe.
Como vemos, los creadores de esta amenaza se han tomado muchas molestias en elaborar el método de ataque. Esto hace que, aunque el fichero host.exe sea detectado ya por la mayoría de motores antivirus, este puede ser sustituido fácilmente por otro código malicioso usando el mismo método de propagación. Que las páginas desde donde se ejecuta el script malicioso sean webs legitimas que han visto su seguridad comprometida tampoco ayuda al usuario confiado. Como ya hemos visto en otros casos en webs españolas vulneradas, si el usuario accede a una web que considera de confianza, es mucho más probable que acepte descargar e instalar prácticamente cualquier archivo (muchas veces incluso ignorando las alertas de seguridad de su antivirus).
Por supuesto, el hecho de que el aprovechamiento de las vulnerabilidades de Java de forma masiva sea relativamente reciente también dificulta el que los usuarios estén precavidos ante estas amenazas. Si a todo esto añadimos que Java es una tecnología multiplataforma y funciona tanto en sistemas Windows, como Linux y Mac, tenemos una combinación explosiva que ha dado y seguirá dando que hablar en los próximos meses.
Desde el laboratorio de ESET en Ontinet.com seguimos muy de cerca la evolución los nuevos vectores de ataque y, en ejemplos como el que acabamos de ver es más importante que el usuario no se confíe al navegar por webs supuestamente seguras que el malware en sí. La mayoría de muestras analizadas que utilizan este método de propagación tienen una alta tasa de detección por parte de los motores antivirus, pero esto de nada sirve si el usuario hace caso omiso a las advertencias de su solución de seguridad.
Josep Albors