Nuevamente el sitio web oficial de MySQL fue comprometido. Esta vez, los cibercriminales utilizaron el acceso al sitio para la distribución de malware. Wayne Huange informó que en el home del sitio de MySQL.com, había inyectado código JavaScript que desviaba a los navegadores de los usuarios a un paquete exploit llamado BlackHole.

Este ataque del tipo “drive-by-download”, es muy utilizado cuando se compromete algún sitio web con mucho tráfico de visita. Cuando la víctima era desviada a este sitio malicioso, se intentaba instalar malware mediante la explotación de vulnerabilidades en diferentes programas tales como, el navegador web, Adobe Reader, Flash o Java; si estos se encontraban sin parchear.

El siguiente es el listado de vulnerabilidades que explota la primera versión de paquete de exploit utilizado:

Armorize, en su informe explica que los atacantes utilizaron servidores web alojados en Alemania y Suecia para montar el crimepack.

También expertos en seguridad informaron, que la semana pasada en uno de los foros donde se reúnen los cibercriminales, uno de los post de venta de servicios ofrecía acceso al sitio de MySQL por un monto de 3.000 dólares. Con esta información se hacer suponer que estos criminales ya tenían acceso al sitio hace un tiempo.

Por parte de Oracle, propietaria de MySQL, todavía no ha informado sobre lo ocurrido. Según estadísticas de Alexa, proveedora de la cantidad de visitas de un sitio web, indica que MySQL se encuentra en el puesto número 637 de sitios populares de Internet, con un tráfico de 400.000 visitantes diarios.

Este tipo de ataque pueden ser evitados, si el usuario mantiene las buenas prácticas de seguridad al navegar, como también verificando si su navegador se encuentra actualizado al día; además de contar con una solución antivirus para evitar la infección con malware.

Claudio Cortés Cid
Especialista de Awareness & Research