Según refleja un análisis de MessageLabs, en los últimos días ha aumentando el número de páginas web legítimas que han sido hackeadas para hospedar malware.
Los datos tomados por MessageLabs entre los días 4 y 8 de mayo muestran que el 84,6% de los sitios Web bloqueados por la compañía por hospedar contenido malicioso correspondía a dominios “bien establecidos” y operativos desde hace un año o más.
En el mismo período, el 10,2% de los dominios bloqueados tenían menos de doce años de operación y sólo un 3,1% llevaba funcionando menos de una semana.
A primera vista, estos datos parecen contradecir el presupuesto bastante común de que los websites maliciosos existen por lo general durante sólo unos días e incluso horas, dado que este corto período de vigencia permite evitar mejor los sistemas de detección y filtrado. Se trata de una estrategia basada en el rápido y continuo cambio, que mueve los sitios Web a través de un laberinto de subdominios ficticios.
Sin embargo, según MessageLabs, la explicación del fenómeno de la migración a los dominios genuinos para difundir malware responde en realidad que los hackers están migrando de este tipo de métodos, a los que la compañía denomina “fast-fluxing” (en continuo cambio) a utilizar una parte diferente del árbol de dominio.
“Los hackers, en este nuevo sistema, comprometen el DNS y añaden subdominios”, explica Paul Wood, experto de MessageLabs. “En este contexto, los usuarios deben asumir una mayor vigilancia y ser conscientes de que incluso los sitios que conocen y en los que confían pueden estar comprometidos mediante ataques como los de inyección SQL”.
Fuente: pcworld
lunes, 18 de mayo de 2009
Aumentan las Web hackeadas para distribuir malware
Copias piratas de Windows 7 son parte de una botnet
Algunas versiones pirata de Windows 7 estarían infectadas con troyanos difíciles de detectar y cuyo propósito es cometer ciberdelitos, según afirma una firma de seguridad .
Disponible desde la pasada semana para su descarga, Microsoft Windows 7 Release Candidate fue pirateado casi al instante mediante varios canales, según la empresa de seguridad Damballa. Esta compañía afirma que una de las versiones piratas que ha visto contenía malware en su interior que podía dar al atacante la capacidad de tomar el control de un ordenador y descargar en él más código malicioso.
Tripp Cox, vicepresidente de ingeniería de Damballa, opina que la versión pirateada forma parte de una red de bots delictiva y explica que el troyano de esta versión pirateada de Windows 7 hizo uso, recientemente, del nombre de dominio "codecs.sytes.net" para sus comandos de control. No obstante, Damballa asegura haber colaborado con otros socios de la industria, cuyo nombre no ha desvelado, para anular su efectividad.
Damballa ha observado un elevado ratio de piratería de Windows 7 RC y apunta que las organizaciones de ciberdelincuentes parecen estar listas para explotarlo. Su vicepresidente de ingeniería afirma que han sido testigos de cientos de miles de descargas de la versión pirateada de Windows 7 y sentencia que hay una “complicidad” entre “los piratas de software y las organizaciones ciberdelincuentes”. Añade, además, que la distribución del Windows 7 pirateado y destapada por Damballa mediante sus métodos colectivos podría ser una de varias versiones pirateadas del sistema operativo de Microsoft con diferentes características de malware.
Damballa sostiene que los tradicionales métodos de detección antimalware basados en firma probablemente no sean suficientes para detener al troyano imbuido en la versión pirateada de Microsoft Windows 7. Los productos de esta firma de seguridad basan su detección en la monitorización del comportamiento de los bot, como sus capacidades para comunicarse mediante ordenadores para establecer comandos de control.
Fuente:pcworld
Suscribirse a:
Entradas (Atom)