• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Páginas "de confianza" como fuente de troyanos

Páginas "de confianza" como fuente de troyanos

23 julio, 2006 Por Hispasec Deja un comentario

Un banner de publicidad alojado en MySpace ha conseguido infectar a más
de un millón de usuarios de Windows gracias a una vulnerabilidad para la
que existe parche desde enero de 2006. No es la primera ni la última vez
que esto ocurre. Los anuncios en las páginas pueden convertir a una web
de confianza en una fuente de código no deseado.

Durante este mes de julio, quien navegase a través de MySpace.com con
Intenet Explorer no parcheado y privilegios de administrador, quedaba
infectado automáticamente por algún tipo de adware. Al contrario de lo
que pueda parecer, la página MySpace no tiene, en principio,
responsabilidad directa sobre el incidente. Normalmente contratará
servicios de publicidad a terceros que se encargan de seleccionar,
alojar y hacer visible la publicidad en su página, y ha sido a través de
este sistema (no se conocen exactamente las causas originales, si el
servidor de publicidad fue comprometido o no) que se ha llegado a
infectar a más de un millón de personas.

El malware se ejecutaba sin permiso, a través de la vulnerabilidad WMF,
parcheada por Microsoft en enero de 2006. Es curioso que se detectara el
problema al visitar la página con Firefox, pues el navegador pedía
confirmación para descargar un archivo en formato wmf que no se había
solicitado. Fue así como se descubrió el pastel. Las versiones
actualizadas de Internet Explorer evitan también la instalación del
virus. Investigaciones posteriores hacen pensar que este ataque
permanecía activo en otras webs desde principios de julio.

Bernardo Quintero, en septiembre de 2005, ya analizó una situación
parecida en una entrada del blog de Laboratorio de Hispasec: «Dilbert
intenta infectarme». La historia se repite pero de una forma todavía más
ruin y taimada. En aquella ocasión, al visitar la (muy recomendable)
tira cómica diaria de Dilbert aparecía una ventana emergente donde se
informaba de errores de registro o del sistema de archivos. Obviamente
era falsa, pues el mismo aviso aparecía independientemente del sistema
operativo con que se visitara. La ventana sugería la instalación de un
tal WinFixer 2005 de forma gratuita, de lo contrario el sistema no
funcionaría correctamente. Al intentar declinar la oferta y pulsar en
«cancelar», el programa pretendía instalar un ActiveX, que sin duda no
tenía muy buenas intenciones y donde seguro se alojaba el código
necesario para infectar la máquina. Tras varias tentativas e
insistencias, se conseguía convencer al programa de que realmente no se
quería instalar el dudoso programa. El adware pretendía, no sólo
infectar el sistema, sino que tuviese que pagar 40 dólares por ello.
Para colmo, no todos los antivirus detectaban como peligrosa esta
supuesta herramienta.

Esta violenta, intrusiva y fraudulenta campaña de mercadotecnica
destinada a infectar sistemas es conocida desde hace tiempo en Internet.
Lo que no es tan habitual es que el ataque se produzca al visitar
páginas de confianza como puede ser la tira cómica de Dilbert o páginas
tan populares como MySpace.com, donde incluso las defensas pueden verse
más relajadas, tanto a nivel técnico (quizás a estas páginas, desde las
opciones del navegador, se les permitan más licencias que al resto) como
a nivel personal (muchos recelarán menos de mensajes que provengan de
páginas a las que son asiduos).

Pero en el caso de MySpace no había opción. No se pretendía convencer al
visitante para que instalase su propio troyano sino que, directamente,
se intentaba aprovechar una vulnerabilidad para ejecutar el código de
forma absolutamente inadvertida para el usuario. Y todo esto, no desde
páginas de dudoso contenido e intenciones, sino desde una reputada
página como MySpace, visitada por millones de usuarios al día. No en
vano Alexa califica a MySpace.com como la sexta página más visitada en
Internet. En realidad la técnica es realmente efectiva para los que
intentan infectar sistemas. Consiguen de esta forma, al colar una
infección indirecta a través de publicidad, muchas más visitas que si
tuviesen que convencer a todas esas personas de que visitaran cualquier
enlace llegado a través de spam. El impacto numérico es mucho mayor, y
además, los usuarios acuden por su propia voluntad al foco de infección.

De la «anécdota» con la página de Dilbert se pueden sacar las
conclusiones que ya conocemos. No hay límite para la codicia de algunas
«empresas» y no dudan en emplear todo tipo de técnicas engañosas para
captar clientes o víctimas. Con respecto a MySpace, además de
aprender a no fiarnos de ninguna página, sea de confianza o no, podemos
concluir que existen todavía más de un millón (y más de dos, y de
tres…) de personas navegando con Internet Explorer desactualizado (al
menos desde enero) y con privilegios de administrador. Parece que ningún
consejo o advertencia sobre los peligros de Internet hace mella en estos
usuarios.

Si este dato hace que muchos se lleven las manos a la cabeza, hay que
recordar que otros cuantos se las estarán frotando, al comprobar con
este ejemplo práctico lo elevado de su «potencial cuota de mercado» en
sus «negocios» particulares.

Las páginas, por su parte, no deben confiar sus servicios de publicidad
a terceros con dudosa reputación. Incluso estos a veces revenderán sus
servicios o incrustarán banners alojados en páginas que escapen a su
control. No está claro cómo ha llegado hasta ahí una publicidad tan dañina.

En cualquier caso, cae otro mito que ya costó inculcar a los usuarios en
su momento. Si habían comprendido que existía una parte «peligrosa» en
Internet (páginas pornográficas, juego online, archivos en redes p2p,
adjuntos ejecutables…) donde eran conscientes de que podían correr
algún riesgo y por ello tomaban algunas precauciones, si se ha acuñado
el término «mal uso» de Internet, como una práctica en la que se visitan
páginas «inapropiadas», este aprendizaje ya no es válido, queda
desfasado e incompleto. Hoy, más que nunca a través de este tipo de
ataques indirectos, cualquier página puede ser fuente de problemas e
infecciones. Toda web, ya sea de música, pornografía, juego en línea o
humor, se convierte en un hostil campo de batalla, donde los sistemas
Windows se convierten es el objetivo preferido y ningún usuario puede ni
debe sentirse seguro.

Ante este panorama, no cabe más que tomar todas las precauciones
posibles sin distinción, en páginas «amigas» o no, e intentar que el
negocio de la «publicidad infecciosa», no les funcione a estos
desaprensivos.

Sergio de los Santos
ssantos@hispasec.com

Más información:

Hacked Ad Seen on MySpace Served Spyware to a Million
http://blog.washingtonpost.com/securityfix/2006/07/myspace_ad_served_adware_to_mo.html

Dilbert intenta infectarme
http://blog.hispasec.com/laboratorio/43

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • ¿Qué es DMARC? La necesidad de la protección del correo electrónico

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR