Webs alojadas en GoDaddy infectan a los usuarios con ransomware

Una de las tendencias más usadas por los ciberdelincuentes durante este 2012 para infectar a los usuarios es el uso de webs legítimas que han visto comprometida su seguridad. De esta forma se aseguran que los usuarios bajan la guardia al acceder a estas webs, que van desde simples blogs personales a páginas de empresas (alguna de ellas muy conocida).

Recientemente hemos conocido la noticia de que una importante cantidad de usuarios se habrían visto afectados por ransomware al visitar páginas web alojadas en Go Daddy (empresa que ya se vio supuestamente afectada por un ataque de denegación de servicio hace un par de meses). Al parecer, los atacantes habrían conseguido atacar los DNS de estos sitios web, de forma que pudieron redirigir a los usuarios a enlaces maliciosos aunque escribieran correctamente la dirección del sitio legítimo.

Recomendamos la lectura de la información proporcionada por nuestros compañeros del blog Segu-Info, donde se explica con más detalle el mecanismo de este ataque. Muy probablemente, esta técnica ha sido usada por los ciberdelincuentes para evitar los filtros de seguridad instalados en muchos ordenadores domésticos y empresas y hacer creer a los usuarios que estaban accediendo a un sitio seguro.

Una vez un usuario ha sido redirigido a una web maliciosa, se intentan ejecutar una serie de exploits para aprovechar posibles vulnerabilidades en el sistema o aplicaciones usadas por el usuario. Se ha detectado la utilización de un kit de exploits de nombre Cool EK, de configuración similar al conocido BlackHole.

Las vulnerabilidades que se intentan aprovechar en estos sitios maliciosos son de diferente tipo pero todas tienen la finalidad de instalar un ransomware para que la víctima termine pagando una cantidad para desbloquear el secuestro de su ordenador. Las instrucciones para el pago del rescate se adaptan según la ubicación geográfica del usuario.

Cómo en otras ocasiones donde hemos analizado casos de webs legítimas comprometidas para propagar malware, lo más probable es que los atacantes hayan conseguido el control de estas webs debido al uso de contraseñas débiles por parte de los propietarios de las mismas. También es posible que estas contraseñas hayan sido robadas pero este hecho aun no se sabe a ciencia cierta.

Mientras se aclara todo este hecho, lo recomendable sería revisar los dominios que tengamos alojados en este servicio, en busca de cualquier cosa fuera de lo normal, y cambiar nuestras credenciales de acceso para evitar posibles intrusiones no autorizadas.

Actualización: Go Daddy ya ha tomado cartas en el asunto inutilizando las credenciales de los usuarios afectados y eliminando el contenido malicioso alojado en las webs vulneradas. Según la empresa, sospechan que este incidente se produjo debido a que varios usuarios se vieron afectados por casos de phishing en sus ordenadores personales y niegan cualquier posible vulnerabilidad en los sistemas de gestión DNS o de las cuentas de acceso.

Josep Albors

 

Comentar

Tu dirección de correo electrónico no será publicada.

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..