Fuente: ZDNet

Hackers se han infiltrado en más de 20,000 sitios web legítimos para plantar código malicioso que será utilizado en ataques de malware “pasajeros”.

Según una advertencia de seguridad de Websense Labs, se ha descubierto que los sitios están inyectando JavaScript malicioso, código ofuscado que conduce a un sitio que explota vulnerabilidades de forma activa.

La empresa descubrió que el sitio que realiza esta explotación activa utiliza un nombre similar al dominio legítimo de Google Analytics (google-analytics.com).

Websense dice que el ataque no parece estar relacionado al ataque Gumblar:

Este ataque de inyección en masa no parece estar relacionado con Gumblar. La ubicación de la inyección, así como el propio código analizado, parecen indicar una nueva campaña de inyección masiva sin relación a la anteriormente mencionada.

En el sitio web atacante se han plantado varios ataques dirigidos a vulnerabilidades de software sin parchar. El programa malicioso que se carga en máquinas Windows comprometidas está vinculado a scareware / rogueware (aplicaciones de seguridad falsas).

Los proveedores de malware recurren cada vez más a sitios Web legítimos para lanzar ataques, utilizando técnicas de inyección de SQL para comprometer y tomar control de sitios de alto tráfico.

Según datos de MessageLabs, aproximadamente el 85 por ciento de los sitios web bloqueados por servir contenido malicioso eran dominios “bien establecidos” que han existido durante un año o más.