Servidores Web atacados: utilizados como puertas traseras para descargas de falsos antivirus

por Presales Team Iberia

Los falsos antivirus (FAKE AV) son, desde hace mucho tiempo, una de las amenazas web más difíciles de erradicar. Las técnicas de diseño que utilizan los cibercriminales para crear este software malicioso cada vez se va perfeccionando más así como la forma de enmascarar el acceso a los mismos para los usuarios.

En este post hablamos acerca de un ataque relacionado con los FAKE AV. En este caso concreto el ataque combina el uso de dos técnicas de malware más recientes: Blackhat SEO y páginas que sirven como «puertas de acceso» a sites infectados con malware. Trabajadores de la industria de la música que hacen búsquedas en Internet tales como «homestead gardens» o «best buy black friday 2010 ads», de forma inesperada fueron redirigidos a un sitio web de Ámsterdam que resultó haber sido infectado y que se estaba utilizando como puerta de acceso a otros sitios maliciosos. Simplemente haciendo clic en uno de los links infectados dentro del servidor, alojado en Amsterdam, mencionado, los usuarios se veían infectados por un malware llamado TROJ_FAKEAV.SMVK . Este Fake AV es una variante que se conecta a varias URLs con el propósito de descargar un segundo malware llamado TROJ_FAKEAV.GXX. Este otro malware crea entradas en el Registry y añade información al fichero HOSTS de Windows como parte de su rutina de infección.

Es muy importante proteger los servidores web de acceso público para evitar que estos sean infectados por cualquier tipo de malware. Los cibercriminales aprovechan cualquier vulnerabilidad, fallo o punto de acceso al sistema para infectar estos servidores y conseguir, así, afectar a gran parte de usuarios que se conecten a ellos. Como ejemplo de estas tácticas, cabe mencionar los exploits que han afectado a múltiples servidores web que utilizan java como lenguaje de programación. Vulnerabilidades de java no parcheadas a tiempo han supuesto el punto de entrada de malware en los servidores web comprometidos y que han dado lugar a epidemias de infección de malware entre usuarios que se conectaban a ellos.

Trend Micro recomienda la utilización de tecnologías de prevención inteligentes, como Smart Protection Network. En concreto, el servicio de reputación web de nuestra tecnología permite identificar el intento de acceso a sitios web comprometidos o infectados por malware antes de que el usuario pueda acceder a ellos.

Para obtener más detalles sobre este suceso, acceda aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.