LA RELACION ENTRE TANTOS FAKE ALERT / ROGUEs APARECIDOS EN LOS ULTIMOS DIAS Y EL “LIZAMOON”

Han habido estos últimos días una gran profusión de variantes de FAKE ALERTs o ROGUEs que hasta nos sorprendió por la cantidad de muestras y variantes que estabamos recibiendo, llegando a ser en un día el 90 % de los malwares recibidos, llegando ahora la posible explicación:

Ya habíamos hablado del LIZAMOON, sin que identificaramos muestras al respecto, y es que de la lectura de esta traducción automática  de este artículo de Threatpost, entendemos el motivo de dicha cantidad de la aparición simultánea de tantas nuevas variantes de falsos antivirus (FAKEs o ROGUEs):
“Las firmas de seguridad están advirtiendo acerca de una rápida propagación de ataque basado en Web que se ha vinculado a la instalación de falsos productos anti-virus.

Más de 300.000 sitios Web se han comprometido en una campaña denominada “LizaMoon,” y ahora están sirviendo enlaces maliciosos a delincuentes autores de falsos productos antivirus, de acuerdo con los investigadores de seguridad de Websense.

los investigadores de Websense descubrieron que una búsqueda actual en Google de sitios Web que alojan el URL malicioso encontraron más de 1,5 millones de sitios Web que alojaban el código, por encima de unos pocos miles a principios de semana. Un número de enlaces infectados están asociados con los podcasts en el dominio de Apple iTunes, a pesar de esos vínculos han sido alterados para evitar que se infecten los sistemas del usuario. iTunes ha sido objeto de numerosas quejas de usuarios que han tenido sus cuentas con circunstancias sospechosas.

Agujeros de seguridad del IRS pueden poner los datos del contribuyente en riesgo

El ataque se ha dirigido a los sitios Web  mediante ataques SQL que se ejecuta en una amplia variedad de plataformas de servidor que utilizan para la llamada inyección. Los ataques de inyección SQL aprovechan las aplicaciones débilmente codificadas para utilizar de forma especial las instrucciones SQL y eludir las medidas de seguridad y modificar los datos en los sistemas vulnerables.

En este caso, los ataques de inyección SQL se utilizan para insertar código malicioso en las bases de datos back-end, lo cual es notificado entonces a los usuarios desprevenidos. El ataque fue apodado “LizaMoon” en reconocimiento del primer dominio Web malintencionado que se descubrió al respecto, registrado poco antes de que comenzaran los ataques, y que se ha utilizado para servir enlaces maliciosos. Ese dominio fue desconectado en el momento de presentar este informe, pero un puñado de otros dominios web son mirrors de dicho ataque.

Los usuarios que hagan clic en un enlace a un sitio Web que se ha visto comprometido, se les inyecta el código malicioso, activando un archivo PHP en el equipo del usuario que redirige el navegador a un sitio Web que instala software falso antivirus conocido como Windows Centro de Estabilidad.

Los ataques de inyección SQL han ocupado un lugar destacado en una serie de ataques a gran escala en los últimos meses. En junio, los servidores Web que ejecutan el software IIS de Microsoft fueron atacados con código malicioso SQL que trató de impulsar programas maliciosos en el PC de los usuarios que visitaron los lugares de interés. sitios de alto perfil, incluyendo The Wall Street Journal y The Jerusalem Post . La inyección de SQL también jugó un papel en el hack de la página web de la empresa de seguridad HBGary por el grupo de Anónimous y, más recientemente, comprometiendo el Sitio Web de MySQL.com.”

Fuente
Valga lo indicado como explicación que contesta a las dudas que nos habian surgido al respecto, y entendemos que, como a nosotros, igual a los usuarios que comparten nuestras inquietudes sobre seguridad en internet.

saludos

ms, 10-4-2011