|
Aumentan ataques masivos a través de sitios conocidos
|
|
VSantivirus No 2676 Año 11, lunes 31 de marzo de 2008
Aumentan ataques masivos a través de sitios conocidos
http://www.vsantivirus.com/31-03-08.htm
Por Angela Ruiz
angela@videosoft.net.uy
Los ataques a través de páginas de búsqueda de Google, se mantienen fuertes y activos, según un informe del investigador Dancho Danchev. Esta clase de ataque
fue reportada desde principios de marzo.
Los ataques realizados, se basan en la técnica de optimización de buscadores denominada SEO, para inyectar código mediante CROSS-SITE-SCRIPTING (XSS), de tal modo que cuando el usuario hace clic en uno de los vínculos encontrados, se ejecuta un script generalmente dentro de un IFRAME oculto.
La tarea de ajustar la información de las paginas que se pretenden hacer aparecer en primeras posiciones de los resultados es conocida como SEO, sigla en inglés de Search Engine Optimization, optimización para motores de búsqueda. Consiste en aplicar diversas técnicas tendientes a lograr que los buscadores de Internet sitúen determinada página web en una posición y categoría alta (primeras posiciones) dentro de su página de resultados para determinados términos y frases clave de búsqueda (extractado de Wikipedia).
Una etiqueta IFRAME permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no. En este caso se utilizan para eludir las restricciones de seguridad y ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios, desde sitios diferentes al que visita el usuario.
Una de las primeras explicaciones de este tipo de ataque fue reportada por la empresa de seguridad Finjan hace un par de semanas.
El problema no está en Google específicamente (ni en otro buscador), sino en los sitios indexados. La conclusión, es que el tema de los ataques del tipo XSS, sigue siendo un importante problema para muchos sitios web, inclusive para los más importantes y conocidos, y debería ser tratado con una prioridad más alta de la que ha recibido hasta ahora.
Según Danchev, la cantidad e importancia de estos sitios, ha aumentado y la cifra sigue creciendo. Cuando hablamos de "importancia" de los sitios, nos referimos a páginas web que normalmente consideramos seguras y utilizamos diariamente, y que por lo tanto es muy difícil llegar a desconfiar de ellas.
Según el reporte de Danchev, sitios como USAToday.com, ABCNews.com, News.com, Target.com, PackardBell.com, Walmart.com, Rediff.com, MiamiHerald.com, Bloomingdales.com, PatentStorm.us, WebShots.com, Forbes.com, Nakido.com, Uvm.edu, hobbes.nmsu.edu, jurist.law.pitt.edu, boisestate.edu y otros, tienen IFRAMES que apuntan a otras páginas, desde donde se inyectan en los PC de los usuarios, variantes de virus como Zlob y otros que son falsos antivirus.
Danchev también dice que Google ha activado un filtrado para minimizar esta clase de ataque, pero mientras los responsables de los sitios no cierren las vulnerabilidades que poseen, los cuáles permiten la explotación a través de IFRAMES, el problema seguirá existiendo.
Lo único que nos queda es confiar en nuestros antivirus y cortafuegos. Un problema secundario, pero no menos importante, es que la gente muchas veces confía en productos ilegales para proteger sus equipos. Muchos de esos productos no pueden actualizarse correctamente (aunque la base de firmas parezca estar al día), ya que si lo hicieran, el "crack" que lo mantiene activo dejaría de funcionar.
Más información:
Massive IFRAME SEO Poisoning Attack Continuing
http://ddanchev.blogspot.com/
Optimizing Cross Site Scripting - and general security practices
http://www.finjan.com/MCRCblog.aspx?EntryId=1905
Relacionados:
Ataque generalizado a más de 10,000 sitios web
http://www.vsantivirus.com/18-03-08.htm
Malware que se propaga a través de importantes foros es detectado por
ESET.
http://www.eset.com.uy/eset/?subaction=showfull&id=1205532959&n=2
Ataque masivo a miles de sitios webs
http://www.eset.com.uy/eset/?subaction=showfull&id=1199823588&n=2
ESET informa sobre la utilización de codecs falsos para propagar códigos maliciosos
http://www.eset.com.uy/eset/?subaction=showfull&id=1197769737&n=2
Google, páginas de error 404 y malwares
http://www.vsantivirus.com/22-02-08.htm
La infección masiva surgió en servidores Apache
http://www.vsantivirus.com/28-01-08.htm
El 80% de los sitios maliciosos son legítimos
http://www.vsantivirus.com/24-01-08.htm
Extraña infección masiva causa gran cantidad de tráfico
http://www.vsantivirus.com/15-01-08.htm
Regreso al pasado vírico (Por Fernando de la Cuadra)
http://www.vsantivirus.com/fdc-pasado-virico.htm
Pornografía dura en Google Groups y troyanos
http://www.vsantivirus.com/03-03-08.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|