Miles de sitios web pirateados están infectando a los visitantes con malware
La campaña inusualmente avanzada infecta a las personas que visitan una variedad de sitios poco seguros.
DAN GOODIN – 4/11/2018
Miles de sitios web pirateados se han convertido en participantes involuntarios de un esquema avanzado que usa notificaciones de actualizaciones falsas para instalar malware bancario y troyanos de acceso remoto en las computadoras de los visitantes, dijo el martes un investigador informático.
La campaña, que se ha estado ejecutando durante al menos cuatro meses, puede poner en peligro los sitios web que ejecutan una variedad de sistemas de administración de contenido, incluidos WordPress, Joomla y SquareSpace. Eso es según una publicación de blog de Jérôme Segura, analista líder de inteligencia de malware en Malwarebytes. Los hackers, escribió, hacen que los sitios muestren mensajes de aspecto auténtico a un número limitado de visitantes que, dependiendo de los navegadores que estén usando, les indican que instalen actualizaciones para Firefox, Chrome o Flash.
Malwarebytes
Para evitar la detección, los atacantes identifican objetivos potenciales para garantizar, entre otras cosas, que las notificaciones de actualización falsas se sirvan en una única dirección IP no más de una vez. Otro testimonio del ingenio de los atacantes: las plantillas de actualización se alojan en sitios web pirateados, mientras que los objetivos cuidadosamente seleccionados que caen en la estafa descargan un archivo JavaScript malicioso de DropBox. El JavaScript comprueba aún más las posibles marcas para las máquinas virtuales y las cajas de arena antes de entregar su carga final. El archivo ejecutable resultante está firmado por un certificado digital de confianza del sistema operativo que además otorga a las notificaciones falsas la apariencia de legitimidad.
“Esta campaña se basa en un mecanismo de entrega que aprovecha la ingeniería social y abusa de un servicio legítimo de alojamiento de archivos”, escribió Segura. “El archivo ‘cebo’ consiste en un guión en lugar de un ejecutable malicioso, lo que les da a los atacantes la flexibilidad para desarrollar técnicas interesantes de ofuscación y toma de huellas dactilares”.
Volando bajo el radar
Los atacantes también vuelan bajo el radar mediante JavaScript altamente ofuscado. Entre los programas maliciosos instalados en la campaña se encontraba el malware bancario Chthonic y una versión trojanizada de la aplicación comercial de acceso remoto de NetSupport.
Malwarebytes
Malwarebytes no pudo determinar con precisión cuántos sitios se han visto comprometidos. Usando un simple script de rastreo, los investigadores identificaron varios cientos de sitios comprometidos de WordPress y Joomla, lo que los llevó a estimar que había miles de tales infecciones. Esta consulta sobre el motor de búsqueda de código fuente PublicWWW reveló un poco más de 900 sitios SquareSpace infectados más temprano el martes. En el momento en que se publicó esta publicación, el número había caído a 774. Esta publicación del investigador de seguridad independiente BroadAnalysis muestra que la campaña comenzó a más tardar el 20 de diciembre. Los sitios fueron pirateados porque los operadores no instalaron las actualizaciones de seguridad disponibles o posiblemente no siguieron otras medidas de seguridad básicas, dijo Segura.
Otras publicaciones en Internet muestran la campaña en acción también. Este hilo de Twitter del mes pasado documenta dos sitios comprometidos de SquareSpace. Una publicación del 28 de febrero en un foro de soporte de SquareSpace informa de otro compromiso, con otro desarrollador del sitio experimentando lo mismo casi dos semanas después.
Las campañas que usan sitios web comprometidos para atacar a los visitantes se han vuelto cada vez más comunes durante la última década. Por lo general, se utilizan en estafas de soporte informático que intentan engañar a las personas para que paguen por solucionar problemas inexistentes de la computadora. Más recientemente, los sitios web comprometidos se han utilizado para instalar ransomware o malware que explota subrepticiamente la criptomoneda. La capacidad de esta estafa de actualización falsa para permanecer oculta durante al menos cuatro meses, junto con su adopción de malware bancario y troyanos de puerta trasera, hace que se destaque.
“El encubrimiento utilizado en esta campaña es lo que llamó nuestra atención porque lo diferencia de otras cadenas de infección que son mucho menos sofisticadas y más fáciles de identificar y bloquear”, dijo Segura a Ars. “Otro aspecto interesante es el hecho de que estas actualizaciones falsas se distribuyen normalmente a través de publicidad maliciosa, que suele ser más económica. Recientemente, una de las cargas más populares de los sitios comprometidos fue la de las estafas de soporte técnico a través de los casilleros de los navegadores. tendencia para malware mucho más serio, como robadores y herramientas de administración remota en este caso “.