• Tweet

Algunos sitios e-commerce proporcionan contenidos personalizados basados en el perfil del usuario, de modo similar, los cybercriminales están utilizando técnicas de personalización para hacer mas efectivos sus ataques para aquellos que visitan sus sitios Web.

En el último año, proliferó el número de sitios maliciosos que se identificaron por utilizar técnicas de personalización, tanto, que hoy representa una tendencia nueva e inquietante, de acuerdo al grupo de análisis de amenazas X-force de los Sistemas de Seguridad de Internet de IBM.

A diferencia de viejos sitios que solamente proporcionaban el mismo código del exploit una y otra vez, los mismos son cargados con múltiples exploits y payloads, dijo Gunter Ollman, director de estrategias de seguridad en el equipo ISS X-Force de IBM. Los sitios son creados para que primero sean probados en el navegador del visitante para obtener información específica y luego se utiliza para crear un ataque personalizado.

“Estamos viendo una gran cantidad de sitios Web maliciosos que hacen uso de la dirección IP y de la versión del navegador antes de que estos comiencen a crear un ataque”, dijo Ollman.

Por ejemplo, un usuario que visita un sitio Web malicioso utilizando Internet Explorer debería ser atacado con base en las vulnerabilidades de éste navegador, mientras que si se utiliza Firefox o Netscape deberían recibir ataques para esos tipos de navegadores. Los payloads típicos incluyen programas de spyware y software de keystroke logging.

Cada sitio Web puede hospedar literalmente “docenas y docenas de exploits” que podrían aprovechar viejas y nuevas vulnerabilidades en navegadores como IE, Firefox y Netscape, dijo Ollmann.”Nosotros hemos visto muchos exploits de día cero que eran utilizados en esos sitios”.

Frecuentemente, los exploits son proporcionados por organizaciones “abastecedoras de exploits”, quienes por una suscripción mensual – a veces tan baja como 20 dólares por mes – proporcionan un número virtualmente ilimitado de exploits.

De acuerdo al informe sobre tendencias de seguridad de X-Force en el 2006, cerca del 30% de los sitios Web maliciosos al final del año utilizaban técnicas personalizadas. El número está creciendo en proporción de cerca de 1000 nuevos sitios cada semana, dijo Ollman. Muchos de los sitios están activos cerca de cuatro o cinco días y después desaparecen.

Los cybercriminales atraen con engaños a los usuarios a tales sitios usando spam o hijacking, utilizando dominios que parecen ser sitios legítimos. Algunas veces los usuarios también pueden entrar directamente a tales sitios cuando dan clic en objetos en páginas Web, tales como banners, contadores de visita, etc.

A menudo estos sitios usan direcciones IP para asegurarse de que se entregara el código malicioso esto con la finalidad de minimizar el riesgo de que sean detectados. Algunos incluso están comenzando a colectar listas de las direcciones IP de los sitios Web que pertenecen a proveedores de seguridad para cerciorarse de que los visitantes de tales sitios no se den cuenta del contenido malicioso.

Muchos de estos sitios Web usan técnicas sofisticadas de ofuscación para evadir su detección. Los scripts de java, por ejemplo, son frecuentemente usados para cifrar los contenidos dentro de la página y ocultar la información de las firmas basadas en la detección. Un programa malicioso también puede ser truncado dentro de dos o más piezas inofensivas, los cuales pueden ser reensamblados más tarde cuando se necesiten.

Muchos sitios también entregan el payload en dos fases. Primero, un dropper o programa descargable es instalado en el sistema. Este programa es activado más tarde para la descarga del payload malicioso.