El 9 de diciembre de 2008, varias páginas index.php de tableros de mensajes y foros chinos comenzaron a dirigir los navegadores a páginas que contenían una explotación de IE entonces desconocida, junto con varias otras explotaciones conocidas. De acuerdo con analistas de seguridad, los sitios fueron hackeados a través de una inyección de SQL típica. Los ciber criminales hacen esto al insertar código malicioso en líneas que son alimentadas en áreas de entrada de sitios web objetivo y pasan a los SQL Servers donde se ejecutan. Se han realizado varios ataques masivos previos a través de esta técnica.
Trend Micro identifica el script que contiene la explotación de IE como JS_DLOAD.MD. Las páginas con el “kit” de explotación permiten la descarga de código malicioso, que difiere dependiendo de la vulnerabilidad descubierta. El código malicioso descargado incluía AGENT Trojans, rootkits (RTKT_BUREY.C), y código malicioso que roba datos (variantes de la familia TSPY_ONLINEG). Varias horas después de que se descubriera, el número de URLs maliciosos que llevaban a ejecutables maliciosos llegó a casi mil.
La explotación bombardea una porción de la memoria de la aplicación con demasiados caracteres para aprovechar la forma en que Internet Explorer maneja vínculos de datos Dynamic HTML. Un vínculo de datos es el establecimiento de relaciones entre datos en el que cualquier cambio en una porción de datos activará un cambio en los datos relacionados. Los investigadores y analistas temían lo peor mientras esperaban que Microsoft solucionara esta vulnerabilidad revelada públicamente. Formularon soluciones temporales, incluyendo la desactivación de ciertas características y funcionalidades de IE, con algunos que incluso recomendaban el uso de otros navegadores Internet. Ningún parche estaba disponible durante el auge de estos ataques. Algunos días después, los investigadores de Trend Micro identificaron más de 6,000 sitios que habían sido inyectados con un script malicioso. Algunos de los scripts explotaban las vulnerabilidades de IE para descargar WORM_AUTORUN.BSE. Este gusano crea más de cincuenta entradas de registro para asegurar que se ejecute cada vez que se inicia una PC. Se conecta a ubicaciones remotas para descargar aún más archivos, incluyendo troyanos, adware y más gusanos. Después de una semana tensa, Microsoft finalmente liberó el Microsoft Security Bulletin MS08-078 crítico.
Las vulnerabilidades del navegador están listas para explotarse debido a la naturaleza ubicua de los navegadores. Alguien que utilice Internet lo hace a través de muchos navegadores disponibles de forma gratuita como Internet Explorer, Mozilla Firefox, Apple Safari y Opera. Los criminales electrónicos pueden atrapar más víctimas con poco esfuerzo usando las explotaciones de los navegadores. Los usuarios que no actualizan su software a las versiones más recientes son los principales blancos de estas explotaciones – y hay muchos usuarios de este tipo, especialmente los navegadores casuales de Internet. Mientras los proveedores siguen trabajando en los parches, todos los usuarios son propensos al ataque.
En junio de este año, un investigador de seguridad reveló una vulnerabilidad en Safari que puede abrir sistemas a las múltiples descargas espontáneas de archivos maliciosos. La industria llamó al ataque “bombardeo extensivo y sistemático” debido al alcance que el daño tiene en las víctimas. El navegador Chrome de Google heredó la misma falla, aunque una de las maneras para solucionar la falla en el diseño era simplemente especificar las configuraciones de descarga en el cuadro de opciones de la aplicación. También en junio, Firefox experimentó un escrutinio público similar cuando se dio a conocer una falla, que puede permitir a los criminales secuestrar PCs una vez que los usuarios visitan un sitio especialmente creado usando Firefox.
Sin embargo, los gusanos de día cero llevan el peligro para los usuarios y las ganancias de los ciber criminales a un nivel completamente nuevo. Los usuarios que actualizan sus navegadores sufren del mismo nivel de riesgo que los usuarios negligentes. Sólo los usuarios más técnicos encontrarán el tiempo y la inclinación para leer artículos de seguridad y blogs para aplicar las soluciones temporales que requieren la reconfiguración de las configuraciones del navegador. Y para complicar más esta amenaza, están disponibles toolkits comerciales que incluso pueden permitir que un ciber criminal novato utilice estas explotaciones codificadas de forma compleja para sus propios ataques.
Riesgo y exposición de los usuarios
Las explotaciones de día cero pueden derivarse en la pérdida de las identidades en línea, información personal y activos financieros de los usuarios de Internet. Específicamente, los jugadores en línea pueden perder el nivel de experiencia del juego y los activos virtuales que han reunido con el tiempo. La vulnerabilidad de vinculación afecta todas las versiones de Internet Explorer, aunque el ataque afecta principalmente a los usuarios de Explorer 7. Este ataque no requiere la interacción del usuario más que ver los sitios web hackeados, algunos de los cuales son sitios legítimos. Los ciber criminales buscan afectar a sitios web con un alto perfil y tráfico considerable para que un gran número de usuarios sea víctima. En algunos ataques, la explotación provoca que el navegador se cierre, provocando la posible pérdida adicional de datos.
En el momento de escribir este reporte, alrededor de 15,000 análisis de código malicioso realizados arrojaron infecciones de JS_DLOAD.MD, la mayoría de las cuales se ubican en China. China tiene una gran población de jugadores en línea y los sitios hackeados estaban en el idioma local.
Soluciones y recomendaciones de Trend Micro
Smart Protection Network ofrece una capa de defensa a través de la tecnología Web Reputation, que bloquea cualquier conexión con fuentes dudosas, previniendo la infección. En este ataque, no se permite a los usuarios tener acceso a URLs maliciosos, y por tanto no es posible descargar archivos maliciosos. Además, la tecnología File Reputation ofrece mayor protección al evaluar la integridad de todos los archivos descargados a las computadoras en caso de que el URL sea de reputación desconocida. Finalmente, al nivel del escritorio, la tecnología antivirus detecta y elimina variantes de JS_DLOAD.MD, RTKT_BUREY.C, WORM_AUTORUN.BSE, TSPY_ONLINEG, y otras amenazas peligrosas.
Se recomienda a los usuarios descargar e instalar el parche del sitio de Microsoft.
