A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe:
Código
Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:
- CVE-2010-0840 – Java Trust
- CVE-2010-0188 – PDF LibTiff
- CVE-2010-0886 – Java SMB
- CVE-2006-0003 – IE MDAC
- CVE-2010-1885 – HCP
Los dominios donde se alojan los exploit se encuentran en Rusia y son bloqueadas por nuestro software de seguridad. Analizando los sitios donde se encontraba presente este iframe, pudimos encontrar que estos son sensibles a inyecciones de SQL.
Es por eso que ante estos casos, si un desarrollador se encuentra ante este problema, debería revisar el código fuente de todas las páginas del sitio, para buscar este tipo de contenido no legítimo y verificar si el sitio web está infectado. Así también es importante tener en cuenta los siguientes consejos:
- Que todas las contraseñas del FTP sean rotadas y se utilicen contraseñas fuertes para todos los usuarios. También se recomienda borrar usuarios que no estén en uso.
- Que el sistema operativo no tenga vulnerabilidades, es decir que que todas las actualizaciones de software estén instaladas.
- Que las aplicaciones (especialmente la aplicación web o el gestor de contenidos) también tengan todos los parches de seguridad instalados.
Vale destacar que, a este momento, se encuentran en el mismo enlace del buscador provisto por los investigadores, muchos más sitios web infectados por el mismo incidente:
El código malicioso que se descarga en el último paso del ataque, es un troyano.
Fuente: http://blog.armorize.com/
Adaptación: Laboratorios ESET