Más del 80% de las páginas WEB infectadas son legítimas

ActualidadProtección de datos

Desde nuestros laboratorios se reportan constantemente páginas Web infectadas, si somos precisos una cada tres segundo y lo que sorprende no es que sea una cada tres segundos, es que más del 80% de ellas son sitios legítimos. Es decir, páginas WEB de uso cotidiano como pueda ser la de nuestra empresa.

grafico-webs-comprometidas

Si lo pensamos fríamente no nos debe sorprender, imaginemos una página WEB que recibe 10.000 visitas diarias, como hacker en más fácil infectar el servidor WEB legitimo para dirigir el ataque y conseguir propagar el malware a cada uno de los visitantes, que intentar atacar a los 10.000 usuarios. Lo más usual es controlar la navegación de los usuarios y dirigirlo a sitios web infectados sin que ellos sean conscientes de ello en su navegación cotidiana.

Resumiendo, tomamos un sitio web con un volumen de visitas elevado e injectamosun iframe o Jsredir dentro del servidor legítimo:

Con ello causamos que los usuarios que naveguen a la WEB legítima, carguen el código HTML del sitio WEB incrustado que a su vez causa la infección de los usuarios.

Realmente suele ser un poco más compleja la redirección del tráfico para imposibilitar el rastreo y complicar la detección, el código que genera el iframe apuntan a dominios web aleatorios y controlados por los atacantes, que se van modificando cada pocas horas.

Una vez que este iframe se genera en el sitio WEB legítimo, los usuarios son redirigidos a dominios al azar y este otro dominio contiene más iframe que apuntan a otros dominios. Una vez que los dominios secundarios se cargan, redireccionan el navegador de nuevo al dominio realmente infectado.

Esto no solo causa la posible infección de los visitantes sino que causa que la reputación de las páginas Web legítimas se vean afectadas, causando en muchos casos que las protecciones web corporativas de los clientes denieguen la navegación a las WEB legítimas con el perjuicio económico que ello conlleva.

Estos ataques se basan en multitud de plataformas WEB y navegadores, ¿Qué debo hacer para evitar / eliminar la infección?

Para nuestros servidores WEB:

  • Mantener actualizado nuestro sitio WEB, evitandoBUGs y vulnerabilidades.
  • Disponer de un Firewall de Aplicación WEB (WAF) + Antivirus en pasarela, protegiendo nuestro sitio WEB de intentos de infecciones.
  • Disponer de un Antivirus de calidad para detectar/eliminar las infecciones existentes.

Para nuestros PC como clientes:

  • Control de Parches para mantener nuestro PC actualizado.
  • Disponer de un antivirus que detecte y elimine infecciones.
  • Disponer de un Host IPS que detecte el comportamiento de las aplicaciones que se ejecutan en el PC y bloquee intentos de infección.
  • Disponer de filtrado WEB que proteja el PC se encuentre donde se encuentre (desde la oficina, desde el aeropuerto, desde el hotel, etc…), filtrando y evitando el acceso a las WEB infectadas.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.