• Tweet

Los atacantes ahora enmascaran virtualmente cada exploit de navegador de Internet como parte de su procedimiento normal para evadir la protección de detección por el software de seguridad, de acuerdo con el equipo de investigación X-Force de IBM.

Al final del año pasado, Kris Lamb, director de X-Force del Internet Security System en IBM, dijo que cerca del 100% de los exploits Web se presentaron de forma cifrada o confiaron en técnicas de ofuscación para hacer más difícil que la detección de intrusos estándar y las tecnologías de prevención de intrusos identifiquen el código de ataque.

“En el 2006, vimos que cerca del 50% del los exploits Web fueron ofuscados o codificados”, de acuerdo con Lamb, además de que un promedio del 80% estuvieron disfrazados durante el 2007.

La razón para el uso de estas técnicas es clara, dijo Lamb. “No son tontos. Solo hacen lo que están obligados a hacer”. "Para que lograran este tipo de ataques, tuvieron que entender las tecnologías de protección que estaban siendo utilizadas. Y los distribuidores de seguridad estuvieron haciendo un trabajo bastante bueno”.

“Una gran cantidad de tecnologías de seguridad en red estuvieron haciendo un buen trabajo en el 2006, cuando se cambió del correo electrónico al navegador Web como un punto de entrada (exploit). Los distribuidores han estado manteniendo una tendencia y construyendo nuevos tipos de tecnologías de seguridad para cubrir la parte de los navegadores, como Flash and JavaScript”, dijo Lamb.

Esto apresuró a los atacantes a ocultar más sus exploits contra los navegadores y hacer un mejor trabajo de encubrir su trabajo, mayormente enfocado en JavaScript. “Más que cualquier otra tecnología, JavaScript es utilizado para realizar ataques a través de exploits cifrados”, de acuerdo con Lamb.

JavaScript está omnipresente y su inherente complejidad permite que sea utilizado por los atacantes. “Los atacantes pueden hacer muchas cosas dañinas, como codificar sus ataques y evitar que descubran sus técnicas”.

Los intrusos ya se pusieron a trabajar sobre Adobescript, muy recientemente de hecho. Ayer, Vinoo Thoma de McAffe Inc. Fue uno de los varios investigadores que notó ataques que utilizan al menos uno de las tantas vulnerabilidades sobre Adobe Reader descubiertas la semana pasada. Thomas, sin embargo, fue quien liberó el exploit para Adobe JavaScript.

“La vulnerabilidad actual puede ser embebida en un archivo PDF y manipulada a través de Adobe JavaScript” dijo en una advertencia publicada en el blog Avert Labs el lunes.

El enmascaramiento y cifrado, sin embargo, es solo una faceta de la tendencia de los ataques contra los navegadores, dijo Lamb.