Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención o demostrar sus habilidades pero, hoy en día, es cuestión de dinero. Engañar a los usuarios desprevenidos a través de internet resulta fácil y efectivo. Los cibercriminales disponen de técnicas sofisticadas, como las inyecciones de código JavaScript, para la difusión de malware a través de internet. Descubra la amenaza que suponen los ataques de JavaScript malicioso y cómo funcionan. Este artículo le ayudará a entender mejor cómo consiguen dinero los cibercriminales con este tipo de ataques y las razones por las que los responsables informáticos deben mantenerse alerta. Monográficos de Sophos. Diciembre de 2010 Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Captación de víctimas a través de internet Hoy en día, casi todas las empresas cuentan con Existen ciertos mitos entre los usuarios en torno a los métodos para la protección del correo electrónico, peligros que representan los virus. Incluso algunos lo que dificulta aún más la difusión de programas técnicos informáticos piensan que, si siguen estas maliciosos a través de mensajes de email. Por eso, reglas, sus equipos estarán a salvo. Estas son algunas los cibercriminales se ven en la obligación de utilizar de las falsas creencias más extendidas: internet como vehículo para la distribución de contenido • Sólo los usuarios ingenuos sufren infecciones. malicioso. SophosLabs detecta 50.000 nuevas páginas • Las infecciones sólo se producen al descargar web infectadas al día. archivos. • Los únicos sitios web peligrosos son los sitios La Web es un medio atractivo para los creadores de malware y representa una amenaza cada vez mayor por tres razones fundamentales: pornográficos, de apuestas o sospechosos. • Para infectarse, es necesario hacer clic en un enlace malicioso. • Su alcance global: las amenazas pueden alojarse en cualquier sitio de internet. • La facilidad de infección: los usuarios y los sistemas son muy vulnerables. Evidentemente, mantenerse alejado de sitios sospechosos y no descargar archivos o hacer clic en enlaces de fuentes desconocidas, son buenas medidas • El fallo de las defensas tradicionales: para protegerse de precaución. Pero las fuentes de infección más contra los ataques web modernos es necesario un evidentes no son las únicas presentes en la Web. planteamiento diferente. Algunas de las marcas internacionales más populares, incluidas ciertas empresas de seguridad líderes en Al navegar por internet, puede dar la impresión de que el mercado, han sido víctimas del secuestro de sus los sitios web de empresas grandes y marcas conocidas sitios web por parte de los cibercriminales, que los son relativamente seguros. Sin embargo, según las han utilizado para la difusión de programas maliciosos estadísticas sobre delitos en la red, no es así. De hecho, o para el desvío de los usuarios a direcciones web aproximadamente uno de cada 150 sitios web legítimos maliciosas. está infectado y, de todas las páginas web infectadas con malware, más del 80% pertenecen a sitios web legítimos. Monográficos de Sophos. Diciembre de 2010 2 Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Funcionamiento del código Java Script malicioso: descargas automáticas o drive-by Cómo utilizan el JavaScript malicioso los cibercriminales El código JavaScript sirve para infectar sitios web ¿Cómo se producen los ataques con JavaScript porque es el lenguaje de programación que apuntala la malicioso? red en la actualidad. Por lo general, suele instalarse en el lado cliente como parte de un navegador web para • En primer lugar, los cibercriminales inyectan código mejorar las funciones de interfaces de usuario y sitios en páginas web legítimas. El código inyectado puede web dinámicos. Hoy en día, dadas las funciones de la ser un elemento HTML de iframe o una secuencia Web 2.0, navegar por internet sin compatibilidad con de comandos en línea, siendo estos últimos los más JavaScript es prácticamente imposible. frecuentes en la actualidad. • Cuando la víctima visita la página web Los cibercriminales se aprovechan de esta situación comprometida, el código inyectado hace que el infectando sitios web legítimos y populares, visitados navegador descargue contenido malicioso de forma por un gran número de usuarios, para desviar a las silenciosa desde otro sitio remoto. El proceso es víctimas a páginas web maliciosas sin su conocimiento. Así empieza el proceso de infección: al visitar estos imperceptible para la víctima. • Normalmente, el contenido cargado está compuesto sitios maliciosos, nuevos scripts se encargan de de varios componentes diseñados para aprovechar aprovechar las vulnerabilidades del lado cliente. las vulnerabilidades del lado cliente. Por ejemplo, puede ser una mezcla de contenido HTML, El código JavaScript inyectado sirve para ocultar el JavaScript, Flash, PDF y Java. El paquete suele desvío de forma más efectiva que otros métodos de crearse y administrarse mediante un kit para el ataque más sencillos, como los ataques de iframe. aprovechamiento de vulnerabilidades, conocido Los ataques con código JavaScript malicioso han como paquete de exploits. aumentado de forma considerable en los últimos tres • Los criminales compran estos paquetes de exploits o cuatro años y, actualmente, casi todos los ataques a los expertos que los crean con la intención de incluyen este tipo de código, pero son más complejos. infectar a los usuarios con programas maliciosos. Internet es el medio favorito de los cibercriminales El aspecto más importante del proceso es que las para la difusión de malware y, cada pocos segundos, técnicas de ingeniería social ya no son necesarias. El aparecen nuevos sitios web infectados. Mediante la usuario no necesita hacer clic en ningún enlace enviado inyección de código JavaScript malicioso en páginas por correo electrónico ni visitar páginas web peligrosas. web legítimas, pueden desviar los navegadores de las Lo único que tiene que hacer es visitar una página web víctimas de forma imperceptible y cargar contenido legítima comprometida. y programas maliciosos desde un servidor remoto. Las infecciones de este tipo se denominan descargas Los usuarios que visitan un sitio secuestrado no tienen automáticas o drive-by y presentan numerosos retos manera de saber que el sitio está comprometido porque para la seguridad, tanto de las empresas como de los el código malicioso es invisible y se ejecuta tan pronto usuarios. como la página se carga en el navegador. Monográficos de Sophos. Diciembre de 2010 3 Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso El código suele utilizar otras secuencias de comandos para buscar más componentes maliciosos que se Cómo consiguen dinero los cibercriminales con estos ataques encargarán de aprovechar las vulnerabilidades conocidas del navegador o del sistema operativo para Hace sólo cinco años, los cibercriminales burlaban infectarlo, robar datos o introducirlo en una red de bots. los sistemas de seguridad y accedían de forma ilegal a los equipos como mera "prueba de concepto" o Ataques contra la optimización de los motores de búsqueda (SEO) para obtener notoriedad personal. Hoy en día, sus Los ataques contra la optimización de los motores de búsqueda actividades tienen una finalidad económica. En la (SEO) son otro de los métodos utilizados por los cibercriminales para infectar a los usuarios con malware a través de internet. El proceso que siguen es diferente al de los clásicos ataques de descargas automáticas (o drive-by). Los ataques de SEO, también conocidos como "contaminaciones de la optimización de los motores de búsqueda", alteran los resultados de los motores de búsqueda para dirigir el tráfico de usuarios a sitios fraudulentos. Según un informe de Google, hasta un 1,3% de los resultados de las búsquedas realizadas en su motor están infectados. Las búsquedas contaminadas que producen este tipo de ataques llevan a los usuarios a visitar páginas maliciosas. actualidad, los cibercriminales pueden permitirse realizar inversiones porque saben que, con casi total seguridad, les saldrán rentables. Los cibercriminales obtienen beneficios con estos ataques de varias formas: • Mediante la venta de kits para el aprovechamiento de vulnerabilidades (o de funcionalidades utilizadas en kits) a otros criminales. Los exploits son programas, conjuntos de datos o secuencias de comandos que aprovechan fallos o vulnerabilidades para provocar comportamientos inesperados del software. A menudo, también permiten hacerse con el control del sistema informático. • Mediante la inyección de código en sitios legítimos El alcance de estos ataques no debe subestimarse, ya para desviar el tráfico de usuarios a otros sitios que están dirigidos a todo tipo de sitios, desde sitios peligrosos. Al ser capaces de controlar los desvíos del gobierno hasta instituciones educativas, conocidos del tráfico con el código inyectado, pueden "vender portales de noticias, blogs y redes sociales. tráfico". • A través de las cargas de los programas maliciosos Dado que los proveedores de seguridad ofrecen instalados. Los cibercriminales roban datos o crean soluciones para la detección de este tipo de código redes de bots (que se ejecutan de forma automática malicioso, los atacantes lo modifican constantemente para enviar spam de forma anónima o realizar para evitar que los atrapen. Los cibercriminales utilizan ataques de denegación de servicios) para obtener el código JavaScript como "pegamento" en este tipo de ataques web por las posibilidades que ofrece para ocultar o camuflar el código y la carga. beneficios. • Aprovechando información de vulnerabilidades de día cero. Los criminales pagan grandes sumas de dinero por tener acceso a información sobre vulnerabilidades de día cero. Los cibercriminales utilizan y comparten los exploits de día cero antes de que el desarrollador del programa objetivo tenga conocimiento de la vulnerabilidad. Monográficos de Sophos. Diciembre de 2010 4 Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso • De hecho, el negocio de algunos cibercriminales • El sitio web de la empresa se vea comprometido: los consiste en detectar vulnerabilidades nuevas y cibercriminales pueden comprometer los sitios web vender la información correspondiente en el mercado administrados y, como resultado, los clientes que los negro. visiten se verán expuestos al código malicioso. • Mediante el abuso de programas de marketing de afiliación con tráfico ilegítimo. Desde la aparición del Ambas situaciones provocan grandes repercusiones marketing de afiliación, a través del cual los afiliados en la empresa, tanto en lo relativo a los costes, como obtienen beneficios por atraer clientes al sitio web a la productividad, la reputación de la compañía o de la empresa, el control de estas actividades ha la seguridad de los datos. Cuando los usuarios son sido escaso. Los afiliados con pocos escrúpulos han víctimas del malware, el departamento informático utilizado correo no deseado, anuncios falsos, clics debe invertir tiempo y dinero en restablecer el forzosos (para instalar cookies de seguimiento en los rendimiento de los equipos. Además, la productividad equipos de los usuarios), programas publicitarios y de los usuarios se resiente y pueden dañarse muchos otros métodos para dirigir el tráfico a los sitios de los archivos. patrocinadores. Pero las repercusiones de las infecciones van más Las tendencias de las actividades de los cibercriminales allá: la integridad de los datos también puede verse en muestran un aumento en el uso de varias cargas peligro. Una vez que se ejecutan en los equipos de las (diferentes tipos de malware) para la obtención de víctimas, muchas familias de programas maliciosos datos. Además, también han aumentado los ataques permiten que los cibercriminales accedan de forma específicos con objetivos concretos. Por ejemplo, remota a los sistemas para robar datos o infectarlos con los delincuentes atacan de forma específica a un otros tipos de malware. empleado del departamento de recursos humanos de una empresa para robar datos y obtener información Cuando la víctima es el sitio web de la empresa, del resto de trabajadores. Después, diseñan un ataque los clientes no culpan a los cibercriminales de las con la información obtenida, lo que aumenta las infecciones resultantes, sino a la propia empresa, lo posibilidades de que las víctimas caigan en la trampa. que puede afectar a la reputación corporativa, generar publicidad negativa y provocar la pérdida de confianza Cómo afectan estos ataques a las empresas por parte de clientes, socios e inversores. El código JavaScript malicioso puede afectar a Estas son las razones por las que "los malos" utilizan las empresas de varias formas. Los responsables JavaScript malicioso y por las que "los buenos" deben informáticos deben mantenerse alerta y protegerse protegerse. En la 2ª parte, analizaremos las soluciones contra este tipo de ataques para evitar, sobre todo, que: que ayudan a conseguirlo. • Los usuarios se conviertan en víctimas del malware: los equipos administrados pueden infectarse a través de descargas automáticas, resultados contaminados de búsquedas y otros tipos de ataques. Monográficos de Sophos. Diciembre de 2010 5 Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Recursos adicionales Malware con moca ofrece información técnica detallada sobre los ataques de JavaScript malicioso más recientes. Fuentes Informe de amenazas de seguridad de Sophos, primer semestre de 2010 http://www.sophos.com/security/technical-papers/modern_web_attacks.html http://www.sophos.com/security/technical-papers/malware_with_your_mocha.html http://www.sophos.com/security/technical-papers/sophos-securing-websites.html http://nakedsecurity.sophos.com/?s=malicious+javascript&x=0&y=0 Boston (EE.UU.) | Oxford (Reino Unido) © Copyright 2010. Sophos Limited. Todos los derechos reservados. Todas las marcas registradas pertenecen a sus respectivos propietarios.