Trend Micro Incorporated, empresa seguridad de contenido Internet, anunció que los autores de código malicioso ahora están falsificando blogs completos para instalar código malicioso en las computadoras.
Al insertar iFrames maliciosos en los blogs, los hackers pueden llevar a los usuarios de blogs legítimos a sitios Web pornográficos. Aquí reciclan una vieja técnica: convencer a los usuarios de descargar un “códec”, que a su vez resulta ser un Browser Helper Object, o archivo DLL que tiene acceso virtualmente ilimitado al navegador de Internet de un usuario.
La Amenaza Definida
Los blogs borraron la línea que marcaba la diferencia entre los medios tradicionales y los nuevos, conforme más gente recurría a ellos. Ahora los lectores consultan blogs para obtener contenido que no hace mucho tiempo sólo la televisión, los periódicos y las revistas podía proveer. Por otro lado, la proliferación de bitácoras escritas por bloggers independientes contribuyó enormemente a este cambio. Después de todo, más variedad de contenido significa más opciones para los lectores en línea. Por su parte, las firmas de medios tradicionales adoptaron los blogs para complementar su contenido.
Los autores de spam, siempre explorando nuevas formas de llegar a la mayor cantidad de usuarios posible, comenzaron a abusar también de los blogs. En 2005, los investigadores acuñaron los términos “splog” o “blam” para referirse a sitios de blogs infectados que son diseñados especialmente para hospedar spam o promover algunas páginas de productos. Normalmente plagaban a estos blogs textos o contenido sin sentido tomados de otras fuentes en línea.
Los splogs de mal gusto y molestos contaminan los resultados de los motores de búsqueda. Además, si su volumen alcanza a una masa crítica, pueden degradar el ancho de banda de Internet. Las comunidades en línea los consideran una molestia. A diferencia de estos, también hay spam en los blogs, donde los spammers publican contenido en las áreas comunes provistas por la mayoría de los sitios de blogs.
Sin embargo, los abusos recientes han demostrado ser más dañinos. Los autores de código malicioso abren blogs y publican entradas para dirigir a los visitantes a otros sitios maliciosos. Estos sitios pueden contener desde spam hasta spyware. Los autores de código malicioso dependen aparentemente de la supuesta legitimidad del dominio de blogs explotado, así que no necesitan anunciar los URLs maliciosos en, por ejemplo, mensajes de correo no deseado.
A mediados de septiembre de este año, los investigadores de Trend Micro descubrieron aproximadamente 1,899 blogs hospedados en un servicio de publicación de blogs muy popular que contenía iFrames maliciosos que redirigían a los visitantes a un sitio pornográfico. Al momento de acceder a un blog hackeado, los usuarios eran dirigidos automáticamente al sitio pornográfico, y los autores de código malicioso colocaban enlaces en el mismo blog como respaldo en caso de que el redireccionamiento no funcionara. Cuando los usuarios daban clic en cualquiera de los vídeos que aparecen en dicho sitio, una ventana le pedía a los usuarios descargar un códec. Los códecs de vídeo son máscaras comunes para el código malicioso como en el caso de las variantes de ZLOB. En este caso el archivo que se descarga, instala y ejecuta es un Troyano identificado por Trend Micro como TROJ_DROPPER.BX, que, a su vez, descarga un DLL malicioso, TROJ_BHO.EZ.
TROJ_BHO.EZ se instala como un browser helper object (BHO) que se ejecuta automáticamente en cada inicio de sesión. Las claves de registro creadas son protegidas por el sistema operativo y mientras el archivo se descarga en la memoria, su eliminación en el modo normal requiere de conocimiento profesional. Los Browser Helper Objects (BHO) son módulos DLL que ofrecen funcionalidad adicional a Internet Explorer. Los BHOs legales pueden ayudar a los usuarios a obtener la información deseada más rápidamente y en el formato que prefieran. Las barras de herramientas como Google o el reproductor Adobe Flash son ejemplos de BHOs legales y válidos.
Sin embargo, en este y muchos otros casos ilegales, estos módulos DLL son aprovechados por los autores de código malicioso. El ataque es técnicamente sencillo ya que pueden tener acceso y controlar la navegación de páginas abiertas en un navegador usando los derechos de los usuarios normales. Esencialmente se convierten en plug-ins del navegador. Los criminales cibernéticos pueden utilizar BHOs para instalar barras de herramientas que podrían grabar la secuencia de teclas de los usuarios. Las compañías en línea también podrían instalar BHOs para permitirles desplegar anuncios molestos.
Curiosamente el URL al que la página de blogs lleva está en blanco. Resulta que los hackers detrás de este ataque cometieron un error de codificación al asignar el dominio del URL de descarga. Este error arruinó la supuesta ofensiva, pero los usuarios siguen siendo vulnerables si un hacker sabe de este ejemplo.
Dichas URLs por sí mismas son legítimas. Esto complica el problema, pues podría no haber una forma automática de separar blogs falsos de los legítimos. Un reporte de McCann señala que el número de usuarios de blogs de todo el mundo sigue creciendo. Incluyendo a los propios bloggers, casi 63% de los usuarios de Internet de todo el mundo acceden de forma rutinaria a blogs personales.
Riesgos y Exposición de los Usuarios
Los usuarios que no tienen la protección de Trend Micro corren el riesgo de infectarse con una amplia gama de amenazas que posiblemente están hospedadas en la página final a la que lleva este ataque. En este caso en particular, TROJ_BHO.EZ crea entradas del registro que lo instalan como un BHO. Monitorea los hábitos de navegación para entregar “contenido publicitario relevante”. Estas páginas no solicitadas afectan la experiencia de navegación óptima del usuario.
La reputación de las firmas de publicación de blogs también puede ser afectada por estos ataques. Ya que los blogs llevan a URLs maliciosos, los usuarios pueden suponer que los dominios del blog son maliciosos también.
Soluciones y Recomendaciones de Trend Micro
Trend Micro Smart Protection Network ofrece seguridad más inteligente que los métodos convencionales. Bloquea las amenazas más recientes antes de que lo afecten. Utilizada por las soluciones y servicios de Trend Micro, Smart Protection Network combina tecnologías “en la nube” únicas y una arquitectura de cliente ligero para proteger de forma inmediata y automática su información dondequiera que se conecte.
Smart Protection Network también brinda otra capa de defensa, a través de la tecnología Web Reputation, que identifica los sitios Web maliciosos o peligrosos conocidos y bloquea el acceso de los usuarios de acuerdo con los niveles de reputación de los dominios. La tecnología File Reputation evalúa la integridad de todos los archivos descargados sin saberlo a las computadoras. Detecta y elimina TROJ_DROPPER.BX, TROJ_BHO.EZ y otras amenazas peligrosas. La tecnología de correlación en la nube con análisis de comportamiento encuentra asociaciones entre las combinaciones de actividades peligrosas para determinar si son parte de un ataque malicioso general.
Puede encontrar aquí el reporte de McAnn: http://www.universalmccann.com/Assets/wave_3_20080403093750.pdf. (Fuente)
