El pasado fin de semana, más de 40.000 páginas web de Estados Unidos, Europa y Asia, se vieron afectadas por un ataque de inyección SQL con el fin de alojar código JavaScript que redirecciona a los usuarios a una falsa página de Google Analytics, googleanalytlcs.net, en cuya URL pueden apreciarse errores tipográficos, según ha explicado Websense.

El ataque ha sido denominado “Beladen”, que en alemán significa “cargado”, porque detrás se encuentra el nombre de dominio “beladen.net”. Dicho dominio, registrado en Ucrania, está involucrado en el proceso de ataque que lleva a las víctimas desprevenidas a la falsa página del site de Google y desde donde se descarga malware -como keyloggers- en la máquina del afectado. Si no tiene éxito, tratará de asustar a los usuarios con falsas alarmas de seguridad, instándoles a comprar software antivirus, que a su vez es falso.

“El ataque está muy avanzado”, explica Stephan Chenette, director de investigación de seguridad de los Websense Labs, que aún están investigando algunos aspectos del ataque, por ejemplo, cómo funciona con sistemas de gestión de contenidos específicos. Para Chenette, el ataque está ligado a la Russian Business Network, por el estilo del ataque y porque es en Ucrania donde principalmente operaba esta red de ciberdelincuentes involucrada en campañas de phishing y otras actividades maliciosas, hoy, aparentemente, inactiva.

Aún no está claro lo que los hackers, sean o no de esta red, están haciendo con los PCs comprometidos, aunque es posible que los utilicen para enviar spam, convertirlos en parte de una botnet o que roben datos de ellos.