• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Fines y medios: Ahora la NBC

Fines y medios: Ahora la NBC

21 febrero, 2013 Por Hispasec Deja un comentario

Durante unas horas, la página oficial de la popular cadena norteamericana NBC estuvo infectando con troyanos bancarios a los sistemas Windows no actualizados que la visitaran. Este incidente se suma a una larga lista de páginas populares de medios de comunicación comprometidas.
Hace unas semanas, se conocía que uno de los subdominios de Los Angeles Times había sido infectado al menos durante mes y medio. Al menos, la NBC ha sido comprometida solo durante unas horas. También otras de las páginas de sus programas. Se detectó que varios sitios web incluían IFRAMES de tamaño minúsculo que cargaban código que llevaba al visitante al kit de explotación Red Kit. Aquí, el programa intenta explotar (sorpresa) vulnerabilidades en Java (una muy reciente, CVE-2013-0422, arreglada en la versión 11) y Adobe Reader. De tener éxito, el usuario es infectado por una variante de Citadel (una familia de Zeus). El troyano se encargará de modificar la web del banco y robarle las credenciales (en la muestra se han encontrado como objetivo los más populares de Estados Unidos) para realizar transferencias sin su consentimiento.
Dancho Danchev ha observado los «whois» de algunos de los dominios. En ellos, el email de registro aparece un viejo conocido (lockwr@rocketmail.com), encargado de otras recientes campañas a gran escala, en las que se inducía a los usuarios a «desbloquear» su cuenta de Facebook visitando un enlace y otra que involucraba la imagen de Verizon. Esto podría demostrar que esta banda está actuando en paralelo a través de varios frentes y, sobre todo, a gran escala en Estados Unidos.
Los binarios descargados eran muy poco detectados por los antivirus en el momento en el que estaban siendo servidos. En el mejor de los casos, siete motores lo detectaban a través de Virustotal. Google se encargó rápidamente de bloquear la página y marcarla como peligrosa y Facebook bloqueó el acceso desde su portal.
Fines y medios
Una vez más, nos presentamos antes un ataque en el que la NBC es un mero intermediario, y no el fin. Quizás la NBC sea un sitio complejo de comprometer, pero lejos están los tiempos en los que el ataque en sí, demostrar que era posible, representaba el fin en sí mismo. Ahora, el valor de atacar la NBC no es la hazaña de conseguirlo, sino su potencial en visitas. Más visitas, más gente infectada. Más gente infectada, más beneficios. Y ese es el verdadero fin. Igual que ocurrió hace poco con Bit9, en el caso en el que los atacantes consiguieron robar un certificado privado de la compañía, con el único objetivo de atacar a terceros que se encontraban protegidos por su software. Los medios para conseguir el fin pueden llegar a ser complejos, pero hoy ya se traducen en simples efectos colaterales.
¿Qué hubiera pasado?
Aunque en este caso el malware estaba destinado a bancos norteamericanos, existen bandas muy activas que lo programan para atacar a víctimas que visitan numerosas cajas y bancos españoles. Por pequeña que parezca, hemos observado que los atacantes tienen en cuenta prácticamente todas las entidades bancarias españolas en su código. ¿Qué hubiera pasado si se lanza una campaña de este tipo en España?
Realicemos un ejercicio hipotético, sin más valor que el de concienciar sobre las cifras. La NBC.com, según Alexa ocupa el puesto 2.211 en visitas globalmente en la Red. Un medio de televisión español popular, por ejemplo RTVE.es, ocupa el puesto 1.915. Según la propia RTVE esto significa que ha sumado casi 14 millones de usuarios únicos en enero de 2013. Imaginemos que alguien lo compromete, y comienza a lanzar malware desde ese portal solo durante un día. Esto hace 500.000 potenciales víctimas. De ellas, descartemos los usuarios de tabletas y televisores (31,2% según RTVE), Mac y Linux (añadamos sobre un 9% más). Pensemos que solo un 60% de los visitantes es una potencial víctima. Esto nos deja en 300.000 máquinas Windows. Aunque se eliminen de la ecuación los usuarios parcheados y a los que les bloquea el antivirus, seguiría siendo una suculenta cifra. Incluso de los ya infectados, no todos caerían en la trampa, visitaría el banco antes de que su antivirus lo detectase, etc. Imaginemos que apenas un 1% de esos 300.000 finalmente es estafado. Estamos hablando de 3.000 usuarios. Los atacantes se atreven a traspasar hasta 3.000 euros por estafado cuando existe dinero en la cuenta y para no levantar sospechas, pero la media en el robo de este tipo son 1.000 euros. Esto nos sitúa en un negocio de unos hipotéticos 3 millones de euros en beneficios por conseguir una buena difusión… ¿Merece la pena?
Estamos seguros de que en la banda, los encargados de encontrar espacios en los que esparcir el malware, se habrán llevado una buena comisión por este «éxito» en la NBC.
Más información:
RTVE.ES logra el mejor enero de su historia con casi 14 millones de usuarios únicos
http://www.rtve.es/rtve/20130212/rtvees-logra-mejor-enero-historia-casi-14-millones-usuarios-unicos/607931.shtml
Dissecting NBC’s Exploits and Malware Serving Web Site Compromise
http://ddanchev.blogspot.ca/2013/02/dissecting-nbcs-exploits-and-malware.html
Exploit Sat on LA Times Website for 6 Weeks
http://krebsonsecurity.com/2013/02/exploit-sat-on-la-times-website-for-6-weeks
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR