La semana pasada fue publicado por innumerables sitios de seguridad, el ataque realizado a 40.000 sitios web.

El mismo, consistió en la inyección de código malicioso en sitios web legítimos. De esta forma, a través de un script ofuscado, los atacantes intentaban infectar a los visitantes de dichos sitios. El incidente fue reconocido como "The Nine-Ball Attack", por uno de los dominios utilizados para el ataque.

Para agregar código malicioso en sitios legítimos, los atacantes se valieron del robo de credenciales de acceso a los servidores FTP de los sitios web.

Asimismo, cada vez que un usuario visita algún sitio comprometido, comienza, con el script antes mencionado, una amenaza multi-stage donde la víctima es direccionada en segundo plano a diversos sitios, y se ejecutan diversos exploits en busca de vulnerabilidades que permitan descargar el código malicioso.

Este ataque, no es el primero en su especie. En enero de 2009 fue detectado otro ataque masivo, infectando más de 20.000 sitios web. Posteriormente, fueron detectados otros ataques similares, identificados como Beladen y Gumblar, este último afectando, en Marzo de este año, también a miles de sitios web legítimos.

Como mencionaba previamente, los ataques muli-stage son una de las tendencias más importantes en lo que refiere a ataques web. Estos, combinan las ya conocidas técnicas de Drive-by-Download, con métodos masivos de infección y la utización de multiples exploits para infectar al usuario.

Al utilizar sitios legítimos, que no poseen fines maliciosos, aprovechan las visitas de estos para propagar códigos maliciosos.

Según el script y el ejecutable, tanto los exploits como los archivos maliciosos son detectados por ESET NOD32, por lo que los usuarios están protegidos de esta amenaza.

Sebastián