Wired UK \/ Shuttershock<\/a><\/em><\/strong><\/p>\n 94<\/a><\/p>\n Miles de sitios web pirateados se han convertido en participantes involuntarios de un esquema avanzado que usa notificaciones de actualizaciones falsas para instalar malware bancario y troyanos de acceso remoto en las computadoras de los visitantes, dijo el martes un investigador inform\u00e1tico.<\/p>\n La campa\u00f1a, que se ha estado ejecutando durante al menos cuatro meses, puede poner en peligro los sitios web que ejecutan una variedad de sistemas de administraci\u00f3n de contenido, incluidos WordPress, Joomla y SquareSpace.\u00a0Eso es seg\u00fan una\u00a0publicaci\u00f3n de blog<\/a>\u00a0de J\u00e9r\u00f4me Segura, analista l\u00edder de inteligencia de malware en Malwarebytes.\u00a0Los hackers, escribi\u00f3, hacen que los sitios muestren mensajes de aspecto aut\u00e9ntico a un n\u00famero limitado de visitantes que, dependiendo de los navegadores que est\u00e9n usando, les indican que instalen actualizaciones para Firefox, Chrome o Flash.<\/p>\n Agrandar<\/a><\/strong><\/p>\n Malwarebytes<\/em><\/strong><\/p>\n Para evitar la detecci\u00f3n, los atacantes identifican objetivos potenciales para garantizar, entre otras cosas, que las notificaciones de actualizaci\u00f3n falsas se sirvan en una \u00fanica direcci\u00f3n IP no m\u00e1s de una vez.\u00a0Otro testimonio del ingenio de los atacantes: las plantillas de actualizaci\u00f3n se alojan en sitios web pirateados, mientras que los objetivos cuidadosamente seleccionados que caen en la estafa descargan un archivo JavaScript malicioso de DropBox.\u00a0El JavaScript comprueba a\u00fan m\u00e1s las posibles marcas para las m\u00e1quinas virtuales y las cajas de arena antes de entregar su carga final.\u00a0El archivo ejecutable resultante est\u00e1 firmado por un certificado digital de confianza del sistema operativo que adem\u00e1s otorga a las notificaciones falsas la apariencia de legitimidad.<\/p>\n \u00abEsta campa\u00f1a se basa en un mecanismo de entrega que aprovecha la ingenier\u00eda social y abusa de un servicio leg\u00edtimo de alojamiento de archivos\u00bb, escribi\u00f3 Segura.\u00a0\u00abEl archivo ‘cebo’ consiste en un gui\u00f3n en lugar de un ejecutable malicioso, lo que les da a los atacantes la flexibilidad para desarrollar t\u00e9cnicas interesantes de ofuscaci\u00f3n y toma de huellas dactilares\u00bb.<\/p>\n Volando bajo el radar<\/p>\n Los atacantes tambi\u00e9n vuelan bajo el radar mediante JavaScript altamente ofuscado.\u00a0Entre los programas maliciosos instalados en la campa\u00f1a se encontraba el malware bancario Chthonic y una versi\u00f3n trojanizada de la aplicaci\u00f3n comercial de acceso remoto de NetSupport.<\/p>\n Malwarebytes<\/em><\/strong><\/p>\n Malwarebytes no pudo determinar con precisi\u00f3n cu\u00e1ntos sitios se han visto comprometidos.\u00a0Usando un simple script de rastreo, los investigadores identificaron varios cientos de sitios comprometidos de WordPress y Joomla, lo que los llev\u00f3 a estimar que hab\u00eda miles de tales infecciones.\u00a0Esta consulta<\/a>\u00a0sobre el motor de b\u00fasqueda de c\u00f3digo fuente PublicWWW revel\u00f3 un poco m\u00e1s de 900 sitios SquareSpace infectados m\u00e1s temprano el martes.\u00a0En el momento en que se\u00a0public\u00f3\u00a0esta publicaci\u00f3n, el n\u00famero hab\u00eda ca\u00eddo a 774.\u00a0Esta publicaci\u00f3n<\/a>\u00a0del investigador de seguridad independiente BroadAnalysis muestra que la campa\u00f1a comenz\u00f3 a m\u00e1s tardar el 20 de diciembre. Los sitios fueron pirateados porque los operadores no instalaron las actualizaciones de seguridad disponibles o posiblemente no siguieron otras medidas de seguridad b\u00e1sicas, dijo Segura.<\/p>\n Otras publicaciones en Internet muestran la campa\u00f1a en acci\u00f3n tambi\u00e9n.\u00a0Este hilo de Twitter del mes pasado<\/a>\u00a0documenta dos sitios comprometidos de SquareSpace.\u00a0Una\u00a0publicaci\u00f3n del 28 de febrero<\/a>\u00a0en un foro de soporte de SquareSpace informa de otro compromiso, con otro desarrollador del sitio experimentando lo mismo casi dos semanas despu\u00e9s.<\/p>\n Las campa\u00f1as que usan sitios web comprometidos para atacar a los visitantes se han vuelto cada vez m\u00e1s comunes durante la \u00faltima d\u00e9cada.\u00a0Por lo general, se utilizan en estafas de soporte inform\u00e1tico que intentan enga\u00f1ar a las personas para que paguen por solucionar problemas inexistentes de la computadora.\u00a0M\u00e1s recientemente, los sitios web comprometidos se han utilizado para instalar ransomware o malware que explota subrepticiamente la criptomoneda.\u00a0La capacidad de esta estafa de actualizaci\u00f3n falsa para permanecer oculta durante al menos cuatro meses, junto con su adopci\u00f3n de malware bancario y troyanos de puerta trasera, hace que se destaque.<\/p>\n \u00abEl encubrimiento utilizado en esta campa\u00f1a es lo que llam\u00f3 nuestra atenci\u00f3n porque lo diferencia de otras cadenas de infecci\u00f3n que son mucho menos sofisticadas y m\u00e1s f\u00e1ciles de identificar y bloquear\u00bb, dijo Segura a Ars.\u00a0\u00abOtro aspecto interesante es el hecho de que estas actualizaciones falsas se distribuyen normalmente a trav\u00e9s de publicidad maliciosa, que suele ser m\u00e1s econ\u00f3mica. Recientemente, una de las cargas m\u00e1s populares de los sitios comprometidos fue la de las estafas de soporte t\u00e9cnico a trav\u00e9s de los casilleros de los navegadores. tendencia para malware mucho m\u00e1s serio, como robadores y herramientas de administraci\u00f3n remota en este caso \u00ab.<\/p>\n![\"unnamed\"](\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/http:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2018\/04\/unnamed.gif\")
<\/a><\/p>\n
![Agrandar<\/a><\/strong><\/p>\nMalwarebytes<\/em><\/strong><\/p>\nPara evitar la detecci\u00f3n, los atacantes identifican objetivos potenciales para garantizar, entre otras cosas, que las notificaciones de actualizaci\u00f3n falsas se sirvan en una \u00fanica direcci\u00f3n IP no m\u00e1s de una vez.\u00a0Otro testimonio del ingenio de los atacantes: las plantillas de actualizaci\u00f3n se alojan en sitios web pirateados, mientras que los objetivos cuidadosamente seleccionados que caen en la estafa descargan un archivo JavaScript malicioso de DropBox.\u00a0El JavaScript comprueba a\u00fan m\u00e1s las posibles marcas para las m\u00e1quinas virtuales y las cajas de arena antes de entregar su carga final.\u00a0El archivo ejecutable resultante est\u00e1 firmado por un certificado digital de confianza del sistema operativo que adem\u00e1s otorga a las notificaciones falsas la apariencia de legitimidad.<\/p>\n\u00abEsta campa\u00f1a se basa en un mecanismo de entrega que aprovecha la ingenier\u00eda social y abusa de un servicio leg\u00edtimo de alojamiento de archivos\u00bb, escribi\u00f3 Segura.\u00a0\u00abEl archivo ‘cebo’ consiste en un gui\u00f3n en lugar de un ejecutable malicioso, lo que les da a los atacantes la flexibilidad para desarrollar t\u00e9cnicas interesantes de ofuscaci\u00f3n y toma de huellas dactilares\u00bb.<\/p>\nVolando bajo el radar<\/p>\nLos atacantes tambi\u00e9n vuelan bajo el radar mediante JavaScript altamente ofuscado.\u00a0Entre los programas maliciosos instalados en la campa\u00f1a se encontraba el malware bancario Chthonic y una versi\u00f3n trojanizada de la aplicaci\u00f3n comercial de acceso remoto de NetSupport.<\/p>\nMalwarebytes<\/em><\/strong><\/p>\nMalwarebytes no pudo determinar con precisi\u00f3n cu\u00e1ntos sitios se han visto comprometidos.\u00a0Usando un simple script de rastreo, los investigadores identificaron varios cientos de sitios comprometidos de WordPress y Joomla, lo que los llev\u00f3 a estimar que hab\u00eda miles de tales infecciones.\u00a0Esta consulta<\/a>\u00a0sobre el motor de b\u00fasqueda de c\u00f3digo fuente PublicWWW revel\u00f3 un poco m\u00e1s de 900 sitios SquareSpace infectados m\u00e1s temprano el martes.\u00a0En el momento en que se\u00a0public\u00f3\u00a0esta publicaci\u00f3n, el n\u00famero hab\u00eda ca\u00eddo a 774.\u00a0Esta publicaci\u00f3n<\/a>\u00a0del investigador de seguridad independiente BroadAnalysis muestra que la campa\u00f1a comenz\u00f3 a m\u00e1s tardar el 20 de diciembre. Los sitios fueron pirateados porque los operadores no instalaron las actualizaciones de seguridad disponibles o posiblemente no siguieron otras medidas de seguridad b\u00e1sicas, dijo Segura.<\/p>\nOtras publicaciones en Internet muestran la campa\u00f1a en acci\u00f3n tambi\u00e9n.\u00a0Este hilo de Twitter del mes pasado<\/a>\u00a0documenta dos sitios comprometidos de SquareSpace.\u00a0Una\u00a0publicaci\u00f3n del 28 de febrero<\/a>\u00a0en un foro de soporte de SquareSpace informa de otro compromiso, con otro desarrollador del sitio experimentando lo mismo casi dos semanas despu\u00e9s.<\/p>\nLas campa\u00f1as que usan sitios web comprometidos para atacar a los visitantes se han vuelto cada vez m\u00e1s comunes durante la \u00faltima d\u00e9cada.\u00a0Por lo general, se utilizan en estafas de soporte inform\u00e1tico que intentan enga\u00f1ar a las personas para que paguen por solucionar problemas inexistentes de la computadora.\u00a0M\u00e1s recientemente, los sitios web comprometidos se han utilizado para instalar ransomware o malware que explota subrepticiamente la criptomoneda.\u00a0La capacidad de esta estafa de actualizaci\u00f3n falsa para permanecer oculta durante al menos cuatro meses, junto con su adopci\u00f3n de malware bancario y troyanos de puerta trasera, hace que se destaque.<\/p>\n\u00abEl encubrimiento utilizado en esta campa\u00f1a es lo que llam\u00f3 nuestra atenci\u00f3n porque lo diferencia de otras cadenas de infecci\u00f3n que son mucho menos sofisticadas y m\u00e1s f\u00e1ciles de identificar y bloquear\u00bb, dijo Segura a Ars.\u00a0\u00abOtro aspecto interesante es el hecho de que estas actualizaciones falsas se distribuyen normalmente a trav\u00e9s de publicidad maliciosa, que suele ser m\u00e1s econ\u00f3mica. Recientemente, una de las cargas m\u00e1s populares de los sitios comprometidos fue la de las estafas de soporte t\u00e9cnico a trav\u00e9s de los casilleros de los navegadores. tendencia para malware mucho m\u00e1s serio, como robadores y herramientas de administraci\u00f3n remota en este caso \u00ab.<\/p>\nFuente:\u00a0https:\/\/arstechnica.com\/information-technology\/2018\/04\/nasty-malware-campaign-using-thousands-of-hacked-sites-hid-for-months\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Miles de sitios web pirateados est\u00e1n infectando a los visitantes con malware La campa\u00f1a inusualmente avanzada infecta a las personas que visitan una variedad de sitios poco seguros. DAN GOODIN\u00a0–\u00a04\/11\/2018 Wired UK \/ Shuttershock 94 Miles de sitios web pirateados se han convertido en participantes involuntarios de un esquema avanzado que usa notificaciones de actualizaciones…<\/p>\n","protected":false},"author":1,"featured_media":968,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-967","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/967","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=967"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/967\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/968"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=967"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=967"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=967"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}](\"https:\/\/cdn.arstechnica.net\/wp-content\/uploads\/2018\/04\/signed-update.png\"){kind=link}