Si bien cada vez más personas utilizan internet para compartir sus conocimientos y opiniones al respecto de cualquier tema, es necesario que tomen las medidas de seguridad necesarias para no ser parte de la cadena de propagación de malware.
Durante finales del año pasado publicamos en el informe de tendencias de amenazas informáticas para 2013, que puede ser descargado desde la sección Informe y Tendencias en el centro de Amenazas de ESET Latinoamérica, que resaltaba como una de las principales tendencias, el cambio de paradigma en la propagación de códigos maliciosos.
Se trata de la propagación de códigos maliciosos utilizando un intermediario, es decir, vulnerar un servicio web para alojar amenazas informáticas. De este modo, los atacantes buscan evitar el uso de computadoras propias o servidores exclusivos dedicados a alojar código malicioso, logrando de esta forma mayor cobertura en sus ataques y menor grado de exposición. Con los sitios web comprometidos, lo único que hacen los atacantes es aprovechar el tráfico del sitio vulnerado o dirigir a las potenciales víctimas con campañas maliciosas esperando que alguna sea infectada con malware.
Además otra de las características de estos sitios comprometidos, es que una vez que la víctima ingresa al sitio web automáticamente se inicia la descarga del código malicioso, sin que el usuario se percate o autorice la descarga, lo cual incrementa las posibilidades de verse infectado si no cuenta con una solución de seguridad con capacidad de protección proactiva que lo asegure mientras navega.
Haciendo seguimiento de esta tendencia, se analizó durante el último mes una muestra de sitios webs latinoamericanos que han sido comprometidos con códigos maliciosos detectados por las herramientas de ESET como JS/Iframe o HTML/Iframe. Estos tipos de malware corresponden a troyanos que generalmente están embebidos en el código HTML de las páginas web y que redireccionan al navegador a una URL específica donde se aloja otro tipo de código.
Además de estos códigos maliciosos, otro troyano, detectado en menor proporción, es el Win32/TrojanDownloader.Banload, que es un código malicioso que una vez instalado en la máquina de la víctima roba información sensible y la envía a otra máquina. Dentro de la información que puede robar está nombres de usuario y contraseña de cuentas de correo o de acceso a páginas de home banking, dependiendo de la variante.
Lo que resultó interesante de este análisis es que cerca del 47% de los sitios comprometidos son blogs, por lo cual es importante recalcar la necesidad de tomar las medidas necesarias para impedir que este tipo de páginas sean utilizadas. Dentro de las razones por las cuales un blog puede verse fácilmente comprometido, se encuentran el uso de contraseñas débiles o que la plataforma utilizada tenga algún tipo de vulnerabilidad y el usuario no tome las medidas adecuadas para actualizar, una vez que el proveedor haga las correcciones necesarias. También tener en cuenta que hay herramientas como WPScan para auditar la seguridad de algunos blogs.
Si bien es claro que las personas que utilizan algún tipo de blog no están interesadas en propagar malware, es necesario que sean cuidadosos para no hacer parte de la cadena. Y para los usuarios, recordar la importancia de tener la solución de seguridad que le brinde la protección necesaria.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
