Fuente: SearchSecurity.com

Investigadores de seguridad están advirtiendo de los últimos ataques de malware que aprovechan debilidades en sitios web en un intento de inyectar código JavaScript malicioso y, en última instancia propagar el malware a visitantes desprevenidos.

El programa malicioso, llamado Gumblar, se ha propagado en los sitios web a través de robo de credenciales FTP, aplicaciones web vulnerables y parámetros de configuración débiles, de acuerdo con un aviso emitido por el Equipo de Respuesta ante Emergencias Informáticas de los EEUU (US-CERT, por sus siglas en inglés). Los visitantes de sitios web corruptos que no hayan aplicado actualizaciones a diversas aplicaciones, incluyendo Flash Player y Adobe Reader, puede convertirse en víctimas de una descarga de malware inadvertida.

“Este programa malicioso puede ser utilizado por los atacantes para controlar el tráfico de la red y obtener información sensible”, el US-CERT dijo en su aviso.

Los ataques no son nuevos, pero los investigadores están tratando de averiguar exactamente cómo se infectaron tantos sitios web, dijo John Harrison, Gerente de Producto de Symantec Security Response. Harrison dijo que según estadísticas del Norton Community Watch, un programa que recopila datos de las aplicaciones y la seguridad de los usuarios del antivirus Norton, se han registrado cerca de 10,000 ataques desde el dominio malicioso de Gumblar.

“Desde nuestro punto de vista, ha habido tantos ataques como este que en realidad es sólo uno nuevo dentro de una larga lista”, dice Harrison. “Teniendo en cuenta el número de ataques y sitios web infectados, esto es algo pequeño en comparación”.

Symantec y otros proveedores de seguridad han estado bloqueando exitosamente el malware que intenta explotar vulnerabilidades de aplicaciones Web conocidas. Los investigadores de seguridad también han detectado la mayoría de los dominios de Gumblar basados en China y han llegado a cerrarlos para proteger a los sitios web, pero de acuerdo con Symantec, los que están detrás del ataque han cambiado a Martuz, un dominio malicioso basado en el Reino Unido.

“Las descargas inadvertidas desde sitios web populares es la principal forma en que los consumidores y usuarios están siendo infectados” dijo Harrison. “Es fácil para un atacante y por desgracia un modo lucrativo utilizar malware para hacer cosas en un sitio web o tratar algunos de los esquemas de publicidad que existen.”

Aproximadamente el 60% de todos los sitios web tienen debilidades de seguridad que son aprovechadas por los atacantes para propagar malware o acceder a datos sensibles, dice Jeremiah Grossman, fundador y CTO de WhiteHat Security. Grossman dijo que el estado de seguridad de los sitios web está mejorando. Pero incluso los sitios web de alto perfil siguen siendo víctimas de los atacantes, dijo.

“Alguien va a encontrar una manera de entrar,” dijo Grossman. “Es por eso que hemos estado hablando de tomar un enfoque de múltiples niveles para proteger lo que ya se tiene en producción y trabajar con los desarrolladores para mejorar la programación antes de que los sitios nuevos se coloquen en Internet.”

En estadísticas publicadas recientemente, WhiteHat dice que los sitios web que escanea tienen un 65% de probabilidad de contener errores de Cross-Site Scripting (XSS), seguido por las fugas de información y los errores de falsificación de contenido.