Ataque masivo ASP.NET causa que sitios web ataquen a sus visitantes

Una infección que provoca que sitios web pobremente configurados bombardeen silenciosamente a los visitantes con ataques de malware afecta ya a 614.000 páginas, según muestra una búsqueda en Google.

La infección masiva, la cual redirige a los usuarios a sitios que explotan versiones desactualizadas de Java de Oracle, Flash Player de Adobe y varios navegadores, fue divulgada por investigadores de Armorize el miércoles. En ese momento, parecía afectar a unas 180.000 páginas. En el momento de escribir esto el viernes, el ataque inicial y una explotación que continua se ha propagado a 613.890 páginas combinadas. El ataque de inyección SQL explota principalmente a los sitios web que corren el entorno de aplicación de Microsoft ASP.Net.

La infección inyecta código en los sitios web operados por restaurantes, hospitales, y otros negocios pequeños y planta un enlace invisible en los navegadores de los visitantes hacia sitios incluyendo jgh[ELIMINADO].com y nbnjkl[ELIMINADO].com. Esos sitios a su vez redirigen a varios otros sitios web que incluyen código intensamente ofuscado. Al final de la línea hay un cocktail de ataques que explotan vulnerabilidades conocidas en Java y otros programas atacados. Las computadoras que versiones desactualizadas luego son reclutadas. Los servidores en el ataque usan direcciones IP de EEUU y de Rusia.
El script decodificado genera un iframe hacia strongdefen[ELIMINADO]z.in, el cual redirige a safetosecuri[ELIMINADO].rr.nu y safetosecuri[ELIMINADO].in

Cuando los investigadores de Armorize enviaron el código usado en el ataque el miércoles, solo seis de los 43 proveedores de antivirus detectaban el ataque, según este análisis de VirusTotal. No se sabe si ese número mejoró desde entonces.

El ataque es el último que forzó a cientos de miles de páginas vulnerables a atacar a sus visitantes. Un ataque en agosto contra máquinas que corrían la aplicación open-source osCommerce por ejemplo, envenenó a 8,3 millones de páginas web. Los sitios web usados en el ataque de este miércoles fueron registrados por un tal James Northone de Plainview, Neva York, el mismo registrante propietario de los usados en los ataques de inyección masiva de Lizamoon en marzo, el cual fue denominado así por una de las direcciones que usaba.

La empresa de seguridad Securi tiene detalles adicionales de este ataque en marcha y un scaner que pueden usar los sitios web para verificar si están infectados. Los sitios comprometidos que intenten recuperarse deben eliminar la infección de sus bases de datos y auditar su código para deshacerse de las fallas de inyección SQL.
Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies