Durante la noche del 31 de Octubre se festejó Halloween, noche de brujas; y como era de esperar, fue una buena excusa para propagar malware. En este caso, a través de sitios web. A continuación les presento la página principal de uno de los tantos sitios:


En primera instancia no parecería contener nada extraño, incluso, si miramos el código fuente del sitio, no parece decir mucho salvo por un pequeño detalle:


Esos dos archivos left.html y home.html conforman el comienzo de una apertura sucesión de páginas con contenido malicioso. Veamos que sucede cuando a la URL original le agregamos uno de estos archivos:


  1. Al agregarle home.html a la dirección web original, la misma no parece sufrir modificación, es decir, seguimos viendo la misma imagen.
  2. Sin embargo, si miramos el código fuente nuevamente, notamos que el mismo ha cambiado completamente y nos encontramos con un script ofuscado en secuencia de escape. Al desofuscar el script, nos encontramos con una etiqueta iframe asociada a una nueva URL.


En este punto pueden pasar dos cosas. Por un lado, si no tenemos antivirus o lo tenemos desactivado, se intenta descargar un código malicioso que tanto ESET NOD32 como ESET Smart Security detectan bajo el nombre de Win32/PSW.Agent.NDP, diseñado para robar información confidencial de los usuarios que caigan en la trampa.

Por el otro, si nuestro antivirus esta activado no muestra que esta atento bloqueando el sitio web por contener componentes dañinos para el sistema:


Esta técnica de ataque a través de sitios web maliciosos o sitios web vulnerables a inyección de código llamada Drive-by-Download, es muy utilizada para propagar malware e infectar equipos, siendo extremadamente peligrosa especialmente para aquellos sistemas que se encuentran desactualizados.

En consecuencia, una de las mejores medidas de prevención es mantener nuestras aplicaciones y sistema operativo actualizados, y contar con la protección antivirus de herramientas como las que ofrece ESET.

Jorge