Durante el mes de septiembre, Trend Micro descubrió 1.899 blogs hospedados en un conocido servicio de publicación de blogs que contenía iFrames maliciososLos ciber-criminales pueden utilizar Browser Helper Objetc (BHO) para instalar barras de herramientas que pueden grabar la secuencia de teclas pulsadas por los usuarios
Trend Micro Incorporated ha descubierto un nuevo método de ataque que cada vez se está extendiendo más entre los creadores de código malicioso. Se trata de la falsificación de blogs completos para instalar código malicioso en los equipos informáticos. En esta ocasión, son los usuarios de sitios de blogs gratuitos los que se ven afectados.
El procedimiento que siguen no es otro que insertar iFrames maliciosos en los blogs. De es este modo, los hackers pueden dirigir a los usuarios de blogs legítimos a páginas web de contenido pornográfico. Aquí reciclan la vieja técnica de convencer a los usuarios de descargar un “códec”, que, a su vez, resulta ser un Browser Helper Object, o archivo DLL, que tiene acceso virtualmente ilimitado al navegador de Internet del usuario.
La Amenaza Definida
Los blogs han difuminado la línea que marcaba la diferencia entre los medios tradicionales y los nuevos a medida que más gente recurría a ellos. Ahora los lectores consultan blogs para obtener información que hasta no hace mucho tiempo sólo la televisión, los periódicos y las revistas podían proporcionar. Por otro lado, la proliferación de bitácoras escritas por bloggers independientes ha contribuido enormemente a este cambio. Después de todo, más variedad de contenido y de información significan más opciones para los lectores online. Por su parte, las firmas de medios tradicionales también han adoptado los blogs para complementar su contenido.
Los autores de spam, siempre explorando nuevas formas de llegar a la mayor cantidad de usuarios posible, vieron aquí un filón y comenzaron a abusar también de los blogs. Ya en 2005, los investigadores acuñaron los términos “splog” o “blam” para referirse a sitios de blogs infectados que son diseñados especialmente para hospedar spam o promover algunas páginas de productos. Normalmente plagaban estos blogs con textos sin sentido que habían sido tomados de otras fuentes online.
Los splogs de mal gusto y molestos contaminan los resultados de los motores de búsqueda. Además, si su volumen alcanza a una masa crítica, pueden perjudicar el ancho de banda de Internet. Las comunidades online los consideran una molestia. A diferencia de estos, también hay spam en los blogs, donde los spammers publican contenido en las áreas comunes provistas por la mayoría de los sitios de blogs.
Sin embargo, los recientes abusos han demostrado ser más dañinos. Los autores de código malicioso abren blogs y publican entradas para dirigir a los usuarios que los visitan a otros sitios maliciosos. Estos sitios pueden contener desde spam hasta spyware. Los autores de código malicioso dependen aparentemente de la supuesta legitimidad del dominio de blogs explotado, así que no necesitan anunciar las URLs maliciosas en mensajes de correo no deseado, por ejemplo.
A mediados de septiembre de este año, los investigadores de Trend Micro habían descubierto aproximadamente 1.899 blogs hospedados en un servicio de publicación de blogs muy conocido que contenía iFrames maliciosos que redirigían a los navegantes a una web pornográfica. En el momento de acceder a un blog hackeado, los usuarios eran dirigidos automáticamente a la web pornográfica, y los autores de código malicioso colocaban enlaces en el mismo blog como respaldo en caso de que el redireccionamiento no funcionara. Cuando los usuarios hacían clic en cualquiera de los vídeos que aparecen en dicho sitio, aparecía una ventana que pedía a los usuarios descargar un códec.
Los códecs de vídeo son máscaras comunes para el código malicioso como en el caso de las variantes de ZLOB. En este caso, el archivo que se descarga, se instala y ejecuta es un Troyano identificado por Trend Micro como TROJ_DROPPER.BX, que, a su vez, descarga un DLL malicioso, TROJ_BHO.EZ.
TROJ_BHO.EZ se instala como un browser helper object (BHO) que se ejecuta automáticamente en cada inicio de sesión. Las claves de registro creadas son protegidas por el sistema operativo y mientras el archivo se descarga en la memoria, su eliminación en el modo normal requiere de conocimiento profesional. Los Browser Helper Objects (BHO) son módulos DLL que ofrecen funcionalidad adicional a Internet Explorer. Los BHOs legales pueden ayudar a los usuarios a obtener la información deseada de forma más rápida y en el formato que prefieran. Las barras de herramientas como Google o el reproductor Adobe Flash son ejemplos de BHOs legales y válidos.
Sin embargo, en este y muchos otros casos ilegales, estos módulos DLL son aprovechados por los autores de código malicioso. El ataque es técnicamente sencillo, ya que pueden tener acceso y controlar la navegación de páginas abiertas en un navegador usando los derechos de los usuarios normales. Esencialmente se convierten en plug-ins del navegador. Los ciber-criminales pueden utilizar BHOs para instalar barras de herramientas que podrían grabar la secuencia de teclas pulsadas por los usuarios. Las compañías online también podrían instalar BHOs para permitirles desplegar anuncios molestos.
Curiosamente la URL a la que la página de blogs lleva está en blanco. Resulta que los hackers que están detrás de este ataque cometieron un error de codificación al asignar el dominio de la URL de descarga. Este error arruinó la supuesta ofensiva, pero los usuarios siguen siendo vulnerables si un hacker está al tanto de este ejemplo.
Dichas URLs por sí mismas son legítimas. Esto complica el problema, pues podría no haber una forma automática de separar blogs falsos de los legítimos. Un informe de McCann señala que el número de usuarios de blogs de todo el mundo sigue creciendo y España es uno de los países donde se está registrando un mayor incremento, tanto en lo que a aparición de nuevos blogs se refiere como de usuarios. Incluyendo a los propios bloggers, casi 63% de los usuarios de Internet de todo el mundo acceden de forma rutinaria a blogs personales.
Riesgos y Exposición de los Usuarios
Los usuarios que no cuentan con protección corren el riesgo de infectarse con una amplia gama de amenazas que posiblemente están hospedadas en la página final a la que lleva este ataque. En este caso en particular, TROJ_BHO.EZ crea entradas del registro que lo instalándolo como un BHO. Monitoriza los hábitos de navegación para entregar “contenido publicitario relevante”. Estas páginas no solicitadas afectan la óptima experiencia de navegación del usuario.
La reputación de las firmas de publicación de blogs también se puede ver afectada por estos ataques, ya que los blogs llevan a URLs maliciosas y los usuarios pueden suponer que los dominios del blog son maliciosos también.
Soluciones y Recomendaciones de Trend Micro
Trend Micro cuenta con una amplia variedad de soluciones que blindan los equipos de los usuarios. Así, Trend Micro Smart Protection Network ofrece protección más inteligente frente a los métodos convencionales y bloquea las amenazas más recientes antes de que afecten al usuarios Utilizada por las soluciones y servicios de Trend Micro, Smart Protection Network combina tecnologías “in-the-cloud” únicas y una arquitectura de cliente ligero para proteger de forma inmediata y automática su información dondequiera que se conecte.
Asimismo, Smart Protection Network también brinda otra capa de defensa, a través de la tecnología Web Reputation de Trend Micro, que identifica los sitios Web maliciosos o peligrosos conocidos y bloquea el acceso de los usuarios en función del nivel de reputación de los dominios. Por su parte, la tecnología File Reputation evalúa la integridad de todos los archivos descargados sin saberlo a los ordenadores. Detecta y elimina TROJ_DROPPER.BX, TROJ_BHO.EZ y otras amenazas peligrosas. La tecnología de correlación “in-the-cloud” con análisis de comportamiento encuentra asociaciones entre las combinaciones de actividades peligrosas para determinar si son parte de un ataque malicioso general.
En los siguientes links de Trend Micro puede encontrar comentarios del blog sobre Código Malicioso que hablan de los recientes ataques de spam:
http://blog.trendmicro.com/fake-blogs-lead-to-fake-porn/
http://blog.trendmicro.com/splog21-blam21
http://blog.trendmicro.com/fake-bebo-profiles-spam-early-spam-often/
Si desea consultar las descripciones técnicas del código malicioso relacionado con éste visite:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DROPPER.BX
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BHO.EZ
