|
Título: Inyección masiva de iframes a sitios de e-commerce Publicado por: @Sthéfano en 30 Julio 2011, 03:39 am Un grupo de investigadores publicó en su blog, una nueva alerta de un ataque masivo a páginas con inyección de iframe activo, que estuvo particularmente focalizado en sitios de e-commerce. El ataque fue reportado con más de 90 mil páginas afectadas. El iframe permite la ejecución de contenido externo en la página que se está visitando. De esta forma, los visitantes de todos los sitios afectados podían infectarse con malware por el solo hecho de visitar un sitio web de confianza.
A través de diversas vulnerabilidades, todas las páginas afectadas se encuentran con la siguiente inyección de iframe: (http://www.imagengratis.org/images/iframe1.png) Código Una vez que el usuario visita alguna de las web infectadas, se ejecuta en la maquina del usuario, a través de un ataque multi-stage, código javascript que explota las siguientes vulnerabilidades que afectan al explorador web:
Los dominios donde se alojan los exploit se encuentran en Rusia y son bloqueadas por nuestro software de seguridad. Analizando los sitios donde se encontraba presente este iframe, pudimos encontrar que estos son sensibles a inyecciones de SQL. Es por eso que ante estos casos, si un desarrollador se encuentra ante este problema, debería revisar el código fuente de todas las páginas del sitio, para buscar este tipo de contenido no legítimo y verificar si el sitio web está infectado. Así también es importante tener en cuenta los siguientes consejos:
Vale destacar que, a este momento, se encuentran en el mismo enlace del buscador provisto por los investigadores, muchos más sitios web infectados por el mismo incidente: (http://www.imagengratis.org/images/googleiframe.gif) El código malicioso que se descarga en el último paso del ataque, es un troyano. Fuente: http://blog.armorize.com/ Adaptación: Laboratorios ESET |