Hackear páginas y blogs para insertar códigos maliciosos suele ser un método común para redireccionar a los usuarios a kits de exploits y comprometer la seguridad de sus equipos. Pero con unos administradores cada vez más concienciados de la importancia de revisar sus plugins, los atacantes están teniendo que inventar nuevas y originales maneras de engañarles.
Los investigadores de seguridad de Malwarebytes han descubierto uno de estos métodos, que pasa por valerse de los clásicos plugins sociales para blogs. Concretamente camuflando el código malicioso en forma de URL normal, de manera que los administradores no verán nada extraño al revisarlo, aunque se cargará igualmente en los navegadores de los usuarios.
Camuflándose como JavaScript social
Los investigadores han encontrado dos versiones de JavaScript diferente con la que hacer unos ataques bautizados como "social sharing analytics", una llamada analytics.js y otra widget.js. Los atacantes insertan estos scripts una vez han conseguido acceso a la página que quieren utilizar, y este se visualiza en el con una dirección convencional.
De esta manera, si un webmaster sospecha algo y revisa el código del plugin de forma superficial lo que verá será una URL del tipo "http://social-button.site/analytics.js", lo que le llevará a pensar que sólo es uno de los JavaScript del plugin social. Pero cuando un usuario accede a la web infectada, el código se carga en su navegador en su forma real remplazando la dirección convencional.
Esta dirección le llevará a través de una serie de puntos intermedios para acabar aterrizando en una página en la que estará alojado el famoso Angler Exploit Kit. Si este usuario está utilizando un navegador desactualizado o con plugins obsoletos, Angler ejecutará rutinas maliciosas e infectará el equipo con el malware de tipo click-fraud Bedep.
El consejo que los investigadores le dan a los webmasters es que se aseguren de mantener su plataforma actualizada. Después de todo, todos los casos que se han encontrado en esta campaña de ataques han sido llevado a cabos en páginas desactualizadas a la que se había accedido con ataques automatizados.
Vía | Malwarebytes
Imagen | Titanas
En Genbeta | Las webs de apuestas y juegos, las más usadas para distribuir malware
Ver todos los comentarios en https://www.genbeta.com
VER 1 Comentario