Ataques Drive By Download: Infección masiva a través de sitios web

Publicado hace 6 años por en Amenazas Informáticas

En la actualidad, existen técnicas avanzadas para la propagación masiva de códigos maliciosos que no solo se limitan a diseminar malware a través de spam y clientes de mensajería instantánea, sino que además lo hacen a través del acceso a determinado sitio o página web.

Un ejemplo de esto lo constituye la metodología de ataque denominada Drive by Download, la cual es una técnica que los ciberdelincuentes aplican para propagar malware gracias al aprovechamiento de vulnerabilidades existentes en diferentes sitios web, las cuales, una vez explotadas, permiten la inyección de código malicioso entre el código original del sitio. El objetivo es infectar de manera masiva los ordenadores de los usuarios desprevenidos con solo ingresar a un sitio web comprometido.

Generalmente, el proceso de ataque se lleva a cabo de manera automática gracias a la implementación de aplicaciones que trabajan en búsqueda de vulnerabilidades en servidores y sitios web, las cuales, una vez encontradas, son aprovechadas para insertar script maliciosos entre el código genuino del sitio web vulnerado.

La siguiente imagen (Cortesía de ESET Latinoamerica) muestra en detalle el proceso ataque:

El usuario malicioso (atacante) inserta en la página web vulnerada un script malicioso y luego el proceso continúa de la siguiente manera:

1. Otro usuario (víctima) realiza una consulta al sitio comprometido (accede a la página web).

2. El sitio web consultado (servidor o aplicación web vulnerada) devuelve la petición (visualización de la página) que contiene embebido en su código el script dañino previamente inyectado.

3. Una vez que el script se descarga en el sistema de la víctima, establece una conexión pero a otro servidor, denominado Hop Point, desde el cual descarga otros scripts maliciosos que contienen diversos exploits.

4. Cada uno de estos exploits tienen el objetivo de comprobar la existencia de vulnerabilidades que puedan ser explotadas en el equipo víctima.

5. En caso de encontrar alguna vulnerabilidad, se ejecutará una instrucción que invoca la descarga de un archivo ejecutable (el malware) desde otro servidor o desde el mismo Hop Point.

6. Se infecta el equipo de la víctima.

En consecuencia, la infección del equipo se habrá llevado a cabo a través de vulnerabilidades en el sistema del usuario. Los script maliciosos involucrados en ataques Drive-by-Download contienen exploits cuyo objetivo primario es comprobar la existencia de vulnerabilidades en el sistema víctima que puedan ser explotadas para infectarlos.

Encontrar este tipo de infección es cada vez más común en sitios de cualquier índole; desde sitios web de empresas con administración deficiente, que no son mantenidos de forma apropiada, o en aquellos blogs, CMS o foros que contienen vulnerabilidades en su código fuente y son hallados por los atacantes.

¿Cómo prevenir este tipo de ataques?

Sin duda, la implementación de prácticas de navegación seguras, permiten mitigar los riegos asociados a sufrir un ataque de este tipo. Desde el centro de amenazas de ESET Latinoamerica, proponen los siguientes consejos que ayudan a prevenir infecciones de este tipo, los cuales compartimos:

  • Implementar una solución de seguridad antivirus con capacidades de detección proactiva como ESET NOD32 que, a través de mecanismos de Heurística Avanzada, permita detectar códigos maliciosos desconocidos.
  • Mantener todas las aplicaciones, incluso el programa antivirus, actualizadas con los parches de seguridad. Por lo general, las aplicaciones incluyen una opción que permite comprobar la existencia de nuevas actualizaciones.
  • Del mismo modo, siempre se debe tener presente actualizar el sistema operativo con los últimos parches de seguridad.
  • Evitar hacer clic sobre enlaces desde páginas web de procedencia dudosa o que se encuentren incrustados en el cuerpo de correos electrónicos, prestando especial atención al correo electrónico no deseado (spam).
  • Verificar hacia dónde redireccionan los enlaces. Con sólo pasar el cursor sobre el enlace, es posible visualizar desde la barra de estado hacia qué sitio web redirecciona el vínculo.
  • El bloqueo de determinados sitios considerados maliciosos, ya sea porque descargan malware o porque contienen material de dudosa reputación, es también otra de las mejores prácticas que ayudan a la prevención y refuerzan la seguridad del equipo.
  • En caso de ser administrador de un sitio web, realizar la actualización de todas las aplicaciones web y controlar las mismas para localizar cualquier tipo de script que pueda haber sido insertado por terceros.

Referencias:

Centro de Amenazas ESET Latinoamerica.