Un "ataque masivo" relacionado con la intrusión de noviembre en una empresa que proporciona servicio de hospedaje de sitios web ha inyectado código malicioso JavaScript en varios cientos de sitios web de comercio electrónico, particularmente en el Reino Unido, de acuerdo con Trend Micro.
El código JavaScript se aprovecha de varias vulnerabilidades para infiltrarse sigilosamente en los sistemas de los usuarios, de acuerdo a un post en un blog publicado por Carolyn Guevara de TrendLabs. Estas incluyen la vulnerabilidad de ejecución remota de código el el control ActiveX AOL SB.SuperBuddy.1, una vulnerabilidad de inyección remota de comandos en el manejo de archivos de QuickTime de Apple, y una corrupción de memoria dentro del navegador web Microsoft Internet Explorer.
Un número importante de servidores de los seis o siete mas grandes proveedores de alojamiento de sitios Web han sido comprometidos con este ataque, dijo Paul Ferguson, -investigador de amenazas avanzadas de Trend Micro.
Debido a que cada uno de estos servidores aloja varios dominios web, "No sabemos el alcance de la cantidad de páginas o dominios que han sido comprometidos", dijo.
El código inyectado JavaScript es lo que Ferguson llama "ofuscado" porque "no se puede mirar sólo el interior del mismo y determinar qué tipo de tarea maliciosa ejecutará".
El código JavaScript genera un nombre de archivo al azar, que "pone mas dificultades en la búsqueda de las páginas comprometidas", dijo Guevara en su post. "A todo ello se agrega el hecho de que el código JavaScript está alojado en el dominio comprometido."
El código JavaScript malicioso "no se parece al de otros sitios comprometidos donde los sitios web que por lo general se inyectan con un vínculo iFrame malicioso u hospedando un JavaScript en otros dominios regularmente creados y registrados exclusivamente para hospedar el código malicioso o de la carga útil de este tipo de amenazas", añadió.
Los investigadores de Seguridad de Trend Micro están todavía desconcertados por este caso, dice en el blog. Trend Micro dice que ha identificado a más de 300 pequeños comercios electrónicos que han sido inyectados con código JavaScript malicioso.
"Los usuarios infectados con este malicioso en última instancia descargan un JavaScript malicioso .MOV y archivos troyanos en sus computadoras", añadió Guevara.
"Trend Micro detecta el código JavaScript malicioso como JS_IESLICE.AQ y el archivo malicioso . MOV como una variante de XML_HACK. Los programas troyanos descargados se detectan como TROJ_DROPPER.NH y TROJ_AGENT.HJS".
"La motivación detrás de los ataques cibernéticos hoy en día es siempre impulsada por dinero", dijo Guevara en su post publicado.
"Esto es sólo el inicio de una larga serie de ataques relacionados con comercio electrónico que se producirán en 2008, si las empresas y los usuarios no tomar medidas adicionales para asegurar sus negocios en línea.
"Mantenga su software actualizado y sea más cuidadosos al hacer negocios en línea", advirtió.
Fuente: Scmagazine EGM/RAQ
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT