Investigadores de seguridad de la firma antivirus ESET se han encontrado con ataques web que usan malware para tratar de evadir las herramientas de seguridad para direcciones URL, verificando el movimiento del ratón.
Los nuevos ataques fueron vistos en el espacio web de Rusia y no requieren la interacción del usuario para infectar equipos con malware. (Véase también “¿Cómo eliminar malware de tu PC de Windows?”).
La mayoría de los ataques de este tipo dependen de iframes ocultos inyectados en sitios web legítimos, pero comprometidos para redirigir a los visitantes a la página del ataque real. Sin embargo, los sitios web afectados por esta nueva campaña no presentan estos elementos criminales.
En su lugar, el código JavaScript se añade a los archivos JS locales que se cargan en la cabecera (head) de cada página HTML, haciendo que la infección sea más difícil de detectar, comentaron los investigadores de seguridad de ESET en su blog el viernes.
Cargar JavaScript de esta manera es una práctica muy común y no es una seña particular de que se haya comprometido la información.
El código inyectado en estos archivos locales de JavaScript carga un archivo JS diferente a una ubicación externa, pero sólo si el movimiento del cursor del ratón se detecta en la página.
El propósito de la detección de movimiento del ratón es evitar los escáneres de URLs y rastreadores Web que utilizan las empresas de seguridad o los motores de búsqueda para detectar sitios web infectados.
Es una técnica sencilla, pero sugiere que los ciberdelincuentes están buscando formas más proactivas para diferenciar entre los visitantes humanos y los robots automatizados, para que puedan mantener sus ataques sin ser detectados durante largos períodos de tiempo, comentaron los investigadores de ESET.
"Es una evolución natural para ataques que te conducen a descargas el incluir código malicioso utilizando técnicas proactivas para la detección de las actividades de los usuarios reales y evitar a los sistemas de recolección de malware.
Si la verificación determina que la solicitud proviene de un ser humano, el código JavaScript externo inyecta un iframe en la página HTML original sobre la marcha, y a continuación carga el código de ataque desde una instalación de un conjunto de herramientas de un exploit llamado Pack Nuclear.
Como la mayoría de herramientas de este tipo de ataques, Nuclear Packs intenta aprovechar las vulnerabilidades de ejecución remota de código en las versiones no actualizadas de los complementos del navegador como Java, Adobe Reader o Flash Player, con el fin de infectar los ordenadores de las víctimas con malware.
En este caso, la instalación de Pack Nuclear intenta explotar la vulnerabilidad CVE-2012-0507Java, la cual fue parcheado en Java para Windows en febrero y en Java para Mac la semana pasada, así como una vulnerabilidad mucho mayor en Adobe Reader, el cual es identificado como CVE-2010-0188.
Los usuarios deben asegurarse de que su navegador y plug-ins estén siempre actualizados para navegar por la Web y se debe ejecutar un antivirus en sus ordenadores en todo momento, aconsejan los expertos en seguridad.
Fuentes: PCWorld
0 comentarios:
Publicar un comentario