En los últimos días ha sido detectada una nueva inyección de código masiva a sitios web, que ingresó un script malicioso en miles de sitios web de empresas vulnerables (se estima que alrededor de 56 mil):

Inyección masiva de código

Si un usuario accede a cualquiera de estos sitios afectados, el script ejecutará un código JavaScript malicioso (x.js) que llama a otro script del mismo tipo (tongji.js), que se encuentra ofuscado. En la siguiente imagen se observa con un capturador de tráfico de red, como se ejecutan ambos scripts en cadena:

Inyección masiva de código

Posteriormente, el último archivo JS comienza a llamar varios sitios y páginas PHP, que descargan archivos maliciosos, todos ellos con exploits para infectar al usuario. Se trata de un clásico ataque multi-stage, donde se descargan diversos tipos de archivos para explotar muchos exploits diferentes para distintas aplicaciones.

Este caso en particular, se caracteriza por intentar explotar más de 20 archivos maliciosos diferentes, con extensiones variadas como EXE, JPG, PIF, SWF y otros. El siguiente es el listado de algunos códigos maliciosos que son descargados por esta amenaza, detectados por ESET NOD32:

  • Win32/Adware.Coolezweb
  • probablemente una variante de Win32/Genetik Troyano
  • Win32/TrojanDropper.Agent.OGM Troyano
  • Win32/Phyiost.AB Troyano
  • Win32/PSW.WOW.NLW Troyano

Independientemente de las características técnicas del ataque, el factor más importante, y que no debe olvidarse es que los códigos maliciosos están inyectados en sitios benignos, sin intenciones dañinas y que contienen vulnerabilidades. ¿Cuántos son los sitios afectados? Una simple búsqueda en Google nos ofrece una idea bastante aproximada:

Inyección masiva de código

En un principio, el buscador indexó más de 56 mil sitios afectados por el script malicioso. Muchos de ellos ya han reparado el problema en las últimas horas, pero la gran mayoría de ellos siguen estando afectados por el script.

Muchos de estos sitios (la mayoría) corresponden a empresas u organizaciones que pueden ver seriamente dañada su reputación.

¿Cómo puede dañarse la reputación?Los usuarios que tengan soluciones de seguridad antivirus en sus sistemas, observarán al ingresar al sitio web de la organización un alerta por la existencia de amenazas en el mismo. Lamentablemente muchos usuarios no tendrán conocimiento de que atacantes pueden realizar este tipo de acciones, y asumirá que es la organización quien está propagando malware. Asimismo, aquellos que no tengan soluciones de seguridad antivirus instalados, infectarán sus sistemas desde el sitio web de la compañía, acción seguramente indeseada por cualquier organización.

En resumen, para mantener su organización a salvo, asegúrese que quien administra el sitio web tenga los cuidados necesarios para evitar la inyección de código en el sitio. La prevención es siempre la principal herramienta de protección para evitar este tipo de incidentes.

Sebastián