Todo empieza con la recepción de un correo electrónico, el cual tiene como remitente alguna de las muchas cuentas de usuarios que han sido sustraídas con engaños. Desde estas cuentas se envía a todos sus contactos un simple mensaje con un enlace, tal y como vemos a continuación.

Este enlace se compone de dos partes. En la primera se observa la dirección de un sitio web que ha sido comprometido, muy probablemente por presentar vulnerabilidades. Los atacantes han ubicado el enlace que redirecciona al código malicioso en uno de los directorios donde se aloja la web.

Si pulsamos sobre el enlace, aparecerá un mensaje de alerta que nos debería sonar. En efecto, se trata del mensaje característico que muestran los falsos antivirus indicando que nuestro equipo contiene múltiples amenazas, y que nos invita a realizar un análisis gratuito y rápido de nuestro sistema.

Independientemente del botón que pulsemos, se nos abrirá una nueva ventana en el navegador que simula ser el clásico explorador de ficheros de Windows XP, y donde se realiza un supuesto análisis.

Como dato curioso, este malware detecta cuándo se visita el enlace malicioso desde un sistema operativo distinto a Windows y muestra una plantilla de farmacia online en lugar del falso análisis de nuestro sistema. La imagen que mostramos a continuación, por ejemplo, fue tomada en un sistema Linux.

Una vez ha finalizado el falso análisis, se nos muestra un resumen con las supuestas amenazas encontradas, ofreciéndonos a continuación la eliminación de estas amenazas si descargamos un archivo ejecutable.

Este archivo es el código malicioso en sí y es otra variante más de un falso antivirus, que no cesará de mostrar falsas alertas y descargar otro tipo de malware mientras sugiere la compra del falso producto al usuario infectado.

Normalmente, este tipo de amenazas se propagaban usando enlaces preparados y posicionados en los primeros puestos cuando se buscaba información sobre una noticia relevante en nuestro buscador web. No obstante, de un tiempo a esta parte, hemos visto cómo tanto los falsos antivirus, además de las farmacias online y otro tipo de engaños y estafas, se aprovechan de webs legítimas con vulnerabilidades para propagar sus creaciones, sabedores de que los usuarios bajan la guardia cuando se encuentran en una web en la que confían.

Como muestra, la web usada en este ejemplo presenta un aspecto prefectamente normal si introducimos su dirección en el navegador.

Una curiosidad que nos hemos encontrado al analizar este caso es que algunas de estas webs no solo estaban siendo usadas para distribuir malware, sino que también habían sufrido un defacement o modificación por algún atacante, como en este caso.

Casos como este nos debe hacer recordar que, si nos encargamos de mantener una web, es importante revisarla periódicamente en busca de posibles agujeros de seguridad. En el laboratorio de ESET en Ontinet.com hemos observado muchos casos similares a este, y no solo en webs personales o de pequeñas empresas. Empresas multinacionales y pertenecientes a importantes medios de comunicación también han sufrido este tipo de ataques, por lo que, como usuarios, es importante que mantengamos la guardia alta, independientemente de que nos encontremos en un sitio web de confianza o no.

Josep Albors

Durante buena parte del día de ayer, todos aquellos que accedieron al canal oficial de Microsoft se encontraron con que todos los vídeos habían sido borrados y sustituidos por otros que mostraban una serie de mensajes durante unos pocos segundos.

En el momento de escribir estas líneas, el canal ya ha recuperado su contenido habitual y funciona sin problemas. Resulta interesante la coincidencia en la fecha de los ataques, ya que ambos se produjeron en fin de semana, probablemente para conseguir que los vídeos suplantadores estuvieran más tiempo activos.

Con respecto a la técnica usada, es muy probable que tanto en el caso del canal de Barrio Sésamo como en el de Microsoft el ataque y la suplantación de los vídeos se haya podido producir por una mala gestión de las contraseñas.

Es posible que veamos más ataques de este tipo en el futuro, sobre todo si los canales de Youtube atacados pertenecen a empresas conocidas y tienen una gran cantidad de seguidores. Desde el laboratorio de ESET en Ontinet.com recordamos la importancia de tener una política de gestión de contraseñas eficaz para todos los servicios en los que las usemos.

Josep Albors

Además de los daños morales y de las quejas de multitud de padres sobre lo que estaban viendo sus hijos, hay que analizar cómo pudo producirse ese ataque. Todo apunta a que los responsables de gestionar el canal descuidaron la seguridad de sus contraseñas, lo que permitió a los atacantes acceder y subir contenido inadecuado.

Desde Youtube, tardaron cerca de 20 minutos en darse cuenta del incidente y bloquear el contenido del canal, el cual, en el momento de escribir estas líneas, seguía bloqueado por mostrar imágenes que no enseñaremos para no dañar sensibilidades.

Si bien este tipo de contenido pornográfico está terminantemente prohibido en Youtube, no es la primera vez que aparecen vídeos de este tipo. En varias ocasiones, usuarios del sitio 4chan (uno de los lugares donde empezó a formarse Anonymous) consiguieron inundar Youtube de este tipo de material simplemente subiendo de forma masiva vídeos para saturar el servicio de Google, tardando este una cantidad considerable de tiempo en retirarlos todos.

En esta ocasión parece que el ataque lo han realizado dos personas y la motivación no parece ser otra que la de realizar una gamberrada cibernética. No obstante, uno de los supuestos atacantes se ha desmarcado de todo este asunto alegando que no tuvo nada que ver y que alguien ha usado su nombre sin su consentimiento.

Incidentes como este demuestran que incluso sitios pensados para los más pequeños de la casa pueden ser objetivos de ataques. Desde el laboratorio de ESET en Ontinet.com, recomendamos a todos los padres preocupados por los contenidos que ven sus hijos en Internet que dediquen más tiempo a navegar con ellos. Solamente educándolos para saber reconocer y bloquear los peligros de Internet podrán disfrutar de una experiencia provechosa y educativa.

Josep Albors

Es por eso que Anonymous ha decidido denunciar estas agresiones abusivas realizando un defacement (suplantando el contenido de una web para mostrar un mensaje de denuncia) a la web del Ministerio de Defensa sirio, cuya página ha quedado tal que así:

En el momento de escribir este artículo, la web permanece inactiva y no muestra ningún mensaje. Este tipo de ataques no son nuevos, puesto que, hace ya catorce años, en 1997, se realizaron actividades similares contra páginas web del Gobierno de Indonesia, tal y como nos recuerdan los chicos de Security by Default, en su sección de hackeos memorables.

No obstante, en esta ocasión un grupo de lo que aparentan ser hackers sirios han respondido a este ataque lanzando otro contra Anonplus.com, la conocida como red social de Anonymous. Estos atacantes consiguieron realizar un deface a esta web y mostrar cruentas fotografías de lo que ellos llaman mártires del ejército sirio.

Como vemos, estas acciones tienen un fuerte componente político y, como tal, hay quien las defiende y quien las critica. Además, viendo que la escalada de violencia en Siria no cesa, es muy probable que veamos acciones similares en las próximas semanas.

Los defacements de páginas web son algo que vemos a menudo en el laboratorio de ESET en Ontinet.com. Sus motivos pueden ser de toda clase, pero detrás de un ataque de este tipo siempre hay errores de seguridad que permiten a un atacante realizar modificaciones a un sitio web desprotegido.

Josep Albors

Puedes escuchar esta noticia en formato podcast pulsando sobre el player que mostramos a continuación:

Según los comentarios vertidos en la cuenta de Twitter de LulzSec, a pesar de haber anunciado su retirada, no podían quedarse de brazos cruzados tras las noticias que se vienen sucediendo desde hace días, las cuales involucran al imperio mediático News Corporation en una serie de escuchas ilegales y malas prácticas periodísticas.

Así pues, anoche decidieron pasar a la acción y prepararon un ataque a la web principal del periódico The Sun (considerado hermano del recientemente desaparecido News of the World). De esta forma, cualquier usuario que accediese a esa web era redirigido automáticamente a otro enlace que contenía la falsa noticia de que Rupert Murdoch había sido encontrado muerto, tal y como podemos observar en la imagen a continuación:

La noticia corrió como la pólvora y, poco tiempo después, LulzSec decidió cambiar la redirección de la falsa noticia a su cuenta de Twitter. En ella se explicaron las motivaciones para volver a la carga y por qué habían arremetido precisamente contra este diario.

No obstante, esta suplantación de la web original de The Sun no es lo único que se ha conseguido obtener de este ataque: los autores también consiguieron acceder a archivos antiguos de correo electrónico y obtener direcciones de email y teléfonos, publicando algunos posteriormente en Twitter. Es probable que estos datos aparezcan en breve por la red de forma pública, como ha sucedido en filtraciones anteriores.

El análisis del ataque, realizado por el diario The Guardian, demuestra que los atacantes aprovecharon vulnerabilidades antiguas conocidas en un servidor secundario. Es muy probable, según este estudio, que las primeras intrusiones se realizaran hace varios días, y que estas sirvieran de preparación para el ataque.

Desde el laboratorio de ESET en Ontinet.com seguiremos observando este tipo de incidentes con gran atención, ya que, por una parte, nos recuerda que todos somos posibles víctimas de un ataque similar, sin importar el tamaño de nuestra empresa, mientras que, por otra, nos debe hacer recordar la importancia de mantener unas políticas de seguridad y prevención de filtraciones de datos adecuadas.

Josep Albors

Pero, ¿porqué este interés creciente en infectar páginas legítimas?. Si escuchamos a la “sabiduría popular”, la mayoría de usuarios pensará que solo pueden infectarse si visitan paginas con contenido pornográfico, casinos online o sitios desde los que obtener todo tipo de cracks, warez y software de forma ilegal. Eso sigue siendo cierto solo en parte puesto que los cibercriminales hace tiempo que empezaron a inyectar código maliciosos en el código fuente de aquellas webs con problemas de seguridad. Así se consigue que los usuarios relajen su seguridad cuando naveguen por páginas conocidas, lo que ocasiona que no duden en descargar y ejecutar cualquier archivo que se les ofrezca desde este tipo de webs.

Una vez conocemos el beneficio que supone para los ciberdelincuentes infectar a las webs legítimas, ¿cómo podemos defendernos?. A nivel de usuario la solución es sencilla. Descargar e instalar un antivirus de confianza para detectar las amenazas nada mas intentemos acceder a la web infectada y desconfiar siempre de cualquier archivo que pretenda descargarse en nuestro sistema, independientemente de la web desde la que se realiza la descarga.

Pero la cosa se complica cuando se trata del administrador de la web. Si se desea evitar que se inyecte código malicioso en nuestra página web, además de contar con un antivirus, deberemos estar al corriente de las actualizaciones de nuestro servidor web y de las aplicaciones de terceros usadas para evitar que se aprovechen vulnerabilidades antiguas. Este consejo se aplica igualmente a servicios de blog como WordPress o Blogger, que cada poco tiempo lanzan actualizaciones de sus plataformas.

Asimismo, deberemos cambiar siempre las contraseñas por defecto y evitar dar permisos innecesarios a usuarios inadecuados. En el caso de que nuestra web este albergada en un servidor externo, se deberá avisar cuanto antes a nuestro proveedor de servicios cuando se tenga una sospecha de que nuestra web ha sido alterada sin nuestro consentimiento.

No hace falta recordar que, aparte de las molestias causadas a los usuarios que se infecten tras visitar una web modificada de forma maliciosa, también se produce una pérdida de reputación muy grave, lo que, a nivel empresarial puede ser muy costoso. Es por eso que, desde el laboratorio de ESET en Ontinet.com, recomendamos seguir todas las buenas prácticas recomendadas y, adicionalmente, aquellas que puedan aplicarse a nuestro caso en particular.

Josep Albors

Si alguien intentaba acceder a la web de ese programa se encontraba con la siguiente pantalla (pinchar sobre la imagen para ampliarla):

En ella aparecían los nombres de las personas que hicieron esta sustitución de la web (actividad conocida como “defacement”) así como también mensajes a uno de los integrantes de ese programa. La web permaneció alterada hasta el domingo por la noche, permitiendo que miles de usuarios se encontrasen con esa sorpresa.

Este tipo de ataques suelen buscar la repercusión mediática y por ello eligen como víctimas a webs que tengan una cantidad de visitas importante. Existen casos de defacement a largo de toda la historia de la web. Algunos de los más recientes y con mayor repercusión fueron la suspensión de uno de los mayores buscadores chinos por parte de activistas iraníes o la colocación de una imagen de Mr. Bean en la inauguración de la web de la presidencia española de la UE:

Más recientemente, podemos citar el defacement sufrido en la web de BP en protesta por el vertido de crudo en aguas del golfo de México:

Como vemos, este tipo de actividades están a la orden del día y aprovechan fallos en la seguridad de las webs para cambiar su contenido. Es tarea de los administradores de esas web solucionar cualquier agujero de seguridad para evitar incidentes de este tipo o más graves que impliquen robo de información sensible o la colocación de malware que pueda infectar a los usuarios que las visiten. Con respecto a estos últimos, desde el departamento técnico de ESET en Ontinet.com, recomendamos descargar e instalar un antivirus que nos mantenga protegidos de posibles códigos maliciosos que se hayan podido ser colocados en páginas webs legítimas.

Josep Albors