IDG.es
Información y recursos para el responsable de seguridad

CSO España - Noticias, artículos y vídeos para el responsable de seguridad

  • Visite nuestros especiales sobre:
  • Malware

Un nuevo método de ataque afecta a 40.000 webs



Nine Balls inyecta malware en las páginas y redirecciona a las víctimas a un site que intenta descargar troyanos y código de keylogger, según ha detectado Websense.

Más de 40.000 páginas web se han visto afectadas por un ataque masivo denominado Nine Balls. La firma de seguridad Websense ha seguido su rastro durante una semana y media y ha identificado su modo de actuación: introduce código malicioso en las webs legítimas, que redireccionan al usuario a otra página con malware que, en primer lugar, identifica al visitante por su dirección IP para descubrir si es repetidor. Si detecta que así es, y para evitar que los investigadores de seguridad vuelvan a entrar, la página en cuestión derivará al visitante repetidor al motor de búsquedas Ask.com.

“Ask.com no contiene nada malicioso, solo te rebotan allí si ya te han visto antes”, aclara Stephan Chenette, director de investigación de seguridad de Websense. Este tipo de inspección y redireccionamiento se está convirtiendo en algo común en los ataques web como modo para evadir el ser investigado.

No obstante, si un visitante web es nuevo, pasa por unas cuantas redirecciones para terminar aterrizando en el site www.nine2rack.in, que parece una página de India pero en realidad está en Ucrania, tal y como cree Websense. Precisamente es el nombre del URL el que ha inspirado a esta firma de seguridad a llamar al método del ataque Nine Ball.

La parada final de la víctima web incluye un intento de descarga drive-by después de que el malware revise las vulnerabilidades del navegador y del software Adobe o Quicktime instalado en el equipo del usuario. Si tiene éxito, el ataque descargará un troyano con un componente de keylogger que muchos paquetes de software antivirus aún no identifican, de acuerdo con Websense. “Estos troyanos tienen un bajo índice de detección”, amplía Chenette. “Muchos son polimórficos o creados en el instante”.

Además, hay cierto número de fallos de seguridad que pueden ayudar a Nine Ball a comprometer la fiabilidad de las páginas web, incluyendo ataques de inyección SQL en websites susceptibles, así como bots que han robado las claves del usuario y los logins de los administradores de páginas web.

El exploit Nine Ball es distinto a los otros dos métodos masivos observados últimamente –Beladen y Gumblar- pero es posible que tras él estén los mismos instigadores, tal y como creen desde Websense.
Autor: CSO
Fecha: 17/06/2009
Votos: 0  
Más sobre:

Websense

 

Nine Ball

 alertas ataques web 
También le puede interesar:
Foro Seguridad en Twitter
IDG.es

Hoy en IDG.es

©2012 IDG COMMUNICATIONS, S. A. U. Prohibida la reproducción total o parcial en cualquier medio (escrito o electrónico) sin autorización expresa por escrito de la editorial. En particular, IDG COMMUNICATIONS, S.A.U., se opone de manera expresa, salvo consentimiento por escrito, a la reproducción, recopilación, distribución, comunicación pública o puesta a disposición por parte de terceros de los contenidos publicados en los medios de su titularidad (ya se editen éstos en papel, a través de Internet o cualquier otro soporte), de conformidad con lo establecido en el artículo 32 de la Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril. En caso de estar interesado en una autorización para reproducir, distribuir, comunicar, almacenar o utilizar en cualquier forma los contenidos titularidad de IDG COMMUNICATIONS, S.A.U. debe dirigir su petición a la siguiente dirección de correo electrónico : idg_nt@idg.es
AdtechOJDidg.es