Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando. De esta forma, los visitantes de todos los sitios afectados podían infectarse con malware por el solo hecho de visitar un sitio web de confianza.

A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe:

Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:

Los dominios donde se alojan los exploit se encuentran en Rusia y son bloqueadas por nuestro software de seguridad. Analizando los sitios donde se encontraba presente este iframe, pudimos encontrar que estos son sensibles a inyecciones de SQL.

Es por eso que ante estos casos, si un desarrollador se encuentra ante este problema, debería revisar el código fuente de todas las páginas del sitio, para buscar este tipo de contenido no legítimo y verificar si el sitio web está infectado. Así también es importante tener en cuenta los siguientes consejos:

  • Que todas las contraseñas del FTP sean rotadas y se utilicen contraseñas fuertes para todos los usuarios. También se recomienda borrar usuarios que no estén en uso.
  • Que el sistema operativo no tenga vulnerabilidades, es decir que que todas las actualizaciones de software estén instaladas.
  • Que las aplicaciones (especialmente la aplicación web o el gestor de contenidos) también tengan todos los parches de seguridad instalados.

Vale destacar que, a este momento, se encuentran en el mismo enlace del buscador provisto por los investigadores, muchos más sitios web infectados por el mismo incidente:

El código malicioso que se descarga en el último paso del ataque, es un troyano del tipo bot, identificado por la heurística de ESET NOD32 como una variante de Win32/Kryptik.QWX, y al momento es detectado por 12 soluciones antivirus, según Virus Total.

Ante estos ataques masivos, es importante que el usuario cuente con una solución de antivirus con capacidades proactiva de detección, ya que, como queda en evidencia en estos casos, los errores de los desarrolladores web o responsables de infraestructura IT, pueden perjudicar directamente a los usuarios, que pueden infectarse solo por visitar un sitio web.

Claudio Cortés Cid - Especialista de Awareness & Research
Sebastián Bortnik - Coordinador de Awareness & Research