Malware

Hace unos días publicábamos en nuestro blog un análisis a partir una muestra de más de 4500 sitios web infectados en Latinoamérica donde México, Brasil y Perú resultaron se los países con más sitios educativos y de gobierno infectados. En el siguiente post presentaremos cuáles son los códigos maliciosos que afectan estos sitios web y cuáles los riesgos que pueden representar para un usuario que los visite y sea infectado.

Antes de explicar un poco cuales son los códigos maliciosos detectados, vale la pena mencionar que si bien estos portales no son maliciosos ya que están relacionados con entidades públicas, si contienen vulnerabilidades que se han aprovechado para inyectar código malicioso. Así, cualquier usuario que simplemente entre al sitio, incluso sin tener ningún tipo de interacción con el mismo, es susceptible de ser atacado si no cuenta con la protección adecuada.

El código malicioso que se encuentra en la mayor cantidad de sitios corresponde al troyano detectado por las soluciones de ESET como JS/Kryptik.AMI. Este malware que aprovecha la infección a través de sitios web y que además tiene un crecimiento importante en Chile tiene la característica de llegar a descargar un applet de Java, el cual puede ejecutar código malicioso en la máquina del usuario.

Otro tipo de códigos maliciosos encontrados en estos sitios son los Backdoors web, que también están presentes en otros servidores latinoamericanos. La característica de estos códigos maliciosos del tipo WebShell es que corresponden a un script desarrollado en algún lenguaje web, con el objetivo de ejecutar comandos en el servidor donde se encuentra alojada. Por lo general se utilizan para robar información  o incluso para alojar códigos maliciosos de otra naturaleza que luego son utilizados en diversas campañas de propagación. Estos códigos maliciosos afectan la tecnología PHP y algunas firmas comunes tanto a los sitios de entidades educativas como de gobierno son PHP/WebShell.NAG y PHP/C99Shell.F.

Java es otra tecnología para la cual también se encuentran algunos códigos maliciosos. Principalmente los del tipo TrojanDownloader, que corresponden a códigos maliciosos que se encuentran en archivos JAR y tratan de descargar algún otro tipo de código malicioso a la máquina de la víctima.

Del análisis de estas amenazas es evidente que ninguna de ellas es muy novedosa. En líneas generales las amenazas alojadas en este tipo de sitios web podríamos decir que son bastante elementales y si un usuario aplica buenas prácticas de navegación y se protege adecuadamente no debería verse infectado.

En conclusión son varias las tecnologías para las cuales se encuentran códigos maliciosos alojados en las páginas mencionadas. De esta forma si un usuario no cuenta con una solución de seguridad que lo proteja y además no realiza regularmente las actualizaciones a sus aplicativos pone en riesgo la seguridad de su información.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research