Drive-by-Dowload es uno de los tipos de ataques más realizados hoy en día por los creadores de malware que propagan sus amenazas por Internet.
Un Drive-by-Dowload ocurre cuando se inserta código dañino en un sitio web, luego de hallar vulnerabilidades explotables en distintas plataformas como blogs o sitios con administración deficiente. Es decir que los atacantes buscan (a través de herramientas automáticas) estas vulnerabilidades y luego, también automáticamente, insertan los códigos de scripts dañinos masivamente en todos los sitios previamente hallados.
Luego, a través de este script, se invoca a un exploit para la plataforma y aplicaciones específicas del usuario que permite la descarga de un archivo ejecutable, el cual se ejecuta en el equipo del usuario, también basado en las vulnerabilidades halladas en el software instalado. Gráficamente el proceso es el siguiente:
Por supuesto, cuanto mayor sea la cantidad de sitios hallados y modificados mayor será la escala de infección... pudiendo ser miles de sitios, de blogs, de foros, etc. ya que más cantidad de usuarios visitarán esos sitios.
Actualmente la única solución a este tipo de ataques es verificar los sitios web en busca de vulnerabilidades, actualizar todas las aplicaciones y utilizar un antivirus con capacidades proactivas que permita detectar las nuevas amenazas. Para más información sobre como evitar estos ataques masivos puede leerse Formas de prevención I, II y III. Para más información se puede consultar el artículo The Ghost In The Browser Analysis of Web-based Malware publicado por Google.
Actualización 01-08-2008: hemos desarrollado un artículo explicando en detalle como funciona Drive-by-Download: infección a través de sitios web.
Cristian
