MySQL.com fue comprometido y estuvo sirviendo malware

Ayer por la tarde saltaba la noticia de que la web del conocido y extendido software de bases de datos había sufrido un ataque y estaba sirviendo malware a todos aquellos usuarios que la visitaban.

Sabiendo que la web mysql.com recibe alrededor de 400.000 visitas diarias, resulta un objetivo muy suculento para un atacante que quiera propagar malware entre un gran número de usuarios. Así pues, ayer nos podíamos encontrar con el siguiente código Javascript oculto en esta web:

Dicho y hecho: durante unas horas, todos aquellos que visitaron mysql.com fueron redirigidos de forma transparente por un script hacia un sitio web preparado para lanzar una serie de ataques sobre los usuarios en busca de vulnerabilidades, utilizando para ello una herramienta automatizada conocida como BlackHole exploit pack.

Esta herramienta intenta aprovechar posibles vulnerabilidades en el navegador del usuario y sus complementos, así como también en diversos programas de Adobe, Java, etc. En resumidas cuentas, lo que se intentaba era encontrar un agujero por el que colar código malicioso, aprovechando alguna vulnerabilidad presente en las aplicaciones que usara todo aquel que accediese a mysql.com.

Un ataque a una empresa de esta magnitud da mucho que pensar y, según el investigador Brian Krebs, es posible que todo se comenzara a fraguar el pasado 21 de septiembre. Ese día, este investigador encontró un mensaje en un foro de hackers rusos en el que se vendía un acceso a mysql.com con permisos de administrador (root) por solo 3000 dólares.

La hipótesis de que esa venta finalmente se produjera y el acceso haya sido aprovechado para inyectar código malicioso en mysql.com es bastante realista, y nos da una idea del mercado actual de tráfico de vulnerabilidades.

Por su parte, Armorize, la empresa de seguridad que descubrió este ataque, ha publicado un interesante vídeo en el que se observa cómo se producía la infección de un usuario que accediera al sitio con un navegador vulnerable mientras se estaba propagando malware.

Este tipo de ataques a grandes empresas viene siendo demasiado habitual desde hace unos meses, ya sea en la forma de filtraciones de datos privados, defacements (alterar el contenido de una web) o sirviendo malware a los usuarios que las visiten. Desde el laboratorio de ESET en Ontinet.com seguimos recomendando mantener nuestro sistema y aplicaciones actualizados (especialmente nuestro navegador web) para evitar vernos afectados por ataques similares en el futuro.

Josep Albors

ESET España 2.0