Home

Noticias

Artículo

Trend Micro alerta sobre amenaza Web de rápida propagación

La más reciente amenaza Web descubierta en este fin de semana explota una vulnerabilidad en los “iFrames” para insertar códigos maliciosos en sitios web legítimos

20 de junio de 2007

Bogotá.- Trend Micro, Inc., anunció un proceso de infección que ocurrió de forma acelerada durante este fin de semana en Italia infectando numerosos sitios Web.

 

Estos sitios, aparentemente legítimos, fueron infectadas con un código malicioso que puede instalar un programa keylogger para robar contraseñas de los usuarios y transformar a las computadoras en servidores Proxy para otros diferentes tipos de ataque. Datos desde Trend Micro informan que decenas de miles de usuarios en el mundo ya han accesado esas URLs infectadas por la falta de información sobre esta amenaza. El código malicioso principal, aprovecha una vulnerabilidad en los llamados “iFrames” (elementos de HTML que permiten insertar otro documento HTML en una página Web), que son muy utilizados en los websites y que son frecuentemente explorados en ataques de códigos maliciosos.

 

Investigadores de Trend Micro aseguran que existe la posibilidad de que en un principio ocurre el ataque automático una vez que es iniciado por una computadora que contiene un “Kit de creación de Troyanos”.

El mecanismo de propagación consiste en una cadena compleja, sin embargo se aprovecha del hecho de que los propietarios y los usuarios de los sitios web no saben que estas páginas aparentemente legítimas, pueden ser parte del siguiente proceso de infección:

1) Un primer nivel de URLs es infectado o hackeado a partir de websites italianos legítimos, que en su mayoría, promueven servicios turísticos locales como hoteles, alquiler de autos, entre otros.

2) Estos websites son hackeados y una dirección IP maliciosa (HTML_IFRAME.CU) es insertada en el código html del website legítimo para que los visitantes sean redirigidos a otro sitio web que contiene un javascript downloader. Estos ya son el segundo y tercer nivel de URLs.

3) A su vez, este tercer nivel de URLs ejecuta la descarga de otro Troyano, a partir de un cuarto nivel de URL. Esta es la URL para el TROJ_SMALL.HCK

4) Este Troyano descarga otros troyanos adicionales, TROJ_AGENT.UHL y TROJ_PAKES.NC desde dos distintas URLs de quinto nivel.

5) El Troyano PAKES descarga un programa de robo de información, que es una variante del Troyano SINOWAL, a partir de un sexto nivel de URL.

El ataque de este fin de semana es el segundo ataque contra websites italianos ocupando JavaScripts maliciosos.