En estos días es común encontrarse con códigos maliciosos que se propagan a través del uso de técnicas de Ingeniería Social: correos falsos, mensajería instantánea o páginas web que han sido comprometidas y utilizan vulnerabilidades del navegador o el sistema operativo para infectar el equipo del usuario. Pero, más allá el método de propagación, ¿dónde se suele alojar el malware?
Por lo general, los códigos maliciosos son alojados en sitios web comprometidos, al cual el usuario es redirigido mediante el uso de alguna de las técnicas mencionadas anteriormente cuya dirección real suele estar disfrazada a través de otro dominio, un hipervínculo o mediante algún acortador de URL, entre otros.
En este caso, lo más interesante de esta amenaza es que el mismo código malicioso se encuentra alojado en diferentes sitios web. Todos ellos presentaban fallas de seguridad similares, ya sea en servidores ejecutando Apache o ISS (los dos software más populares en este campo), y las más frecuentes para inyectar códigos maliciosos en los servidores son las vulnerabilidades o las contraseñas débiles.
En el caso del ejemplo, el nombre del archivo es explorerly.exe, un troyano bancario que roba credenciales de acceso del usuario al ingresar al home banking. Esta amenaza es detectada por ESET NOD32 Antivirus como Win32/Spy.Banker.UYJ y en una próxima entrega les brindaremos un análisis detallado de cómo es que funciona este troyano.
En la siguiente imagen se puede observar el archivo en cuestión, en diversos sitios web. Nótese que no solo los sitios permiten el listado de los directorios (se resalta el código malicioso), sino que uno de los sitios web cuenta con un archivo HTML que permite la subida de archivos al servidor, una falla de seguridad grave.
¿Por qué sucede esto? ¿Cómo es que estos sitios son vulnerados de tal manera? La respuesta a veces podría llegar a sorprender, desde una falla básica de seguridad como así también la falta de actualización del servidor web. Los atacantes buscan estos sitios para poder alojar sus códigos maliciosos incluso haciendo uso de herramientas que por descuido o desconocimiento, se dejan a su alcance.
Hay un punto que es claro, los atacantes utilizan las fallas de seguridad de los sitios web para alojar sus códigos maliciosos y de esta manera contar con más de un sitio al cual redirigir a sus posibles víctimas. Mientras mayor sea la cantidad de sitios en los que puedan alojar su código malicioso, menor es la posibilidad de que bloqueen sus ataques. Esto denota la importancia de una educación y capacitación para los usuarios, los administrados de sitios web como así cualquier persona que navegue por Internet.
Pablo Ramos
Especialista de Awareness & Research
