Recientemente los casos de toolkits de infección como MPack, Dream System (ambos del mismo autor sash), Zunker, DKCS FTP-Toolz han abierto la caja de Pandora sobre este tipo de infecciones, las cuales no son originales y se vienen utilizando desde hace tiempo por los diseminadores de malware. Lo que hace singular a estos casos es la masividad con la que se han logrado las infecciones a través de hostings vulnerables.

La forma de funcionamiento e infección es relativamente sencilla pero requiere un elemento generalmente poco considerado: vulnerar un servidor web que aloje cientos o miles de sitios:

  1. Un atacante logra acceso a un hosting más o menos popular que aloja sitios web. Este ingreso generalmente se debe a vulnerabilidades en el software instalado en el servidor (sistema operativo, herramientas de administración, programas de control remoto, etc) y a la incorrecta administración de los servidores web y a prácticas de seguridad deficientes por parte de los administradores.
  2. Una vez dentro, se modifican las páginas web de todos los sitios alojados. Esta modificación es masiva y consiste en incluir un pequeño trozo de código que hace referencia a la descarga del malware propiamente dicho.
  3. Los usuarios visitan las páginas web ignorando que el sitio ha sido modificado
  4. Los usuarios son infectados con diversos tipos de malware. Esta infección ocurre debido a que generalmente se aprovechan diversas vulnerabilidades del navegador o sistema operativo del usuario.

En el caso en particular de Mpack, el kit se vende en foros underground de Rusia y facilita crear una infraestructura web para infectar automáticamente a los usuarios que visitan los sitios web atacados, aprovechando diversas vulnerabilidades, según se explica en el gráfico anterior.

A modo ilustrativo este tipo de paquetes suele rondar los U$S $1.000 y cuenta con administración para controlar y llevar estadísticas sobre las infecciones realizadas. El paquete se ofrece como si se tratara de un software legal, con servicio de soporte incluido y actualizaciones para el mismo.

Como alternativa a la mencionada existen sitios que pagan a otros sitios web (generalmente de contenido sexual, cracks y warez) para que alojen los scripts dañinos que infectan al usuario. De esta forma se aseguran una alta tasa de infección entre los usuarios que visitan los sitios web mencionados. Obviamente estas infecciones repercuten en mayores ganancias económicas.

Randy nos cuenta más en MPack, el generador de revuelos.

Cristian