Los investigadores de seguridad constatan el resurgir de Gumblar, nombre con el que se conoce a una pieza de código maligno que se propaga a través de páginas web legítimas, pero inseguras.
El pasado mes de mayo, miles de páginas web fueron hacheadas para que pudieran servir un iframe, que es una manera de ofrecer contenido de una web en otra. El iframe lleva al dominio “gumblar.cn”. Gumblar intentará explotar el ordenador del usuario gracias a unas vulnerabilidades en productos Adobe (como Flash o Reader) y transmitir el código maligno.
Sin embargo, ahora Gumblar ha cambiado sus tácticas. En lugar de tener alojado el código maligno en un servidor remoto, los hackers ponen ahora el código en páginas web comprometidas, tal y como han explicado fabricantes como IBM y ScanSafe. También parece que Gumblar ha sido actualizado para sacar partido de los últimos agujeros de seguridad de los programas Reader y Acrobat, tal y como se pone de manifiesto en el blog Frequency X de Internet Security Systems.
Los piratas saben que es sólo cuestión de tiempo que un ISP deshabilite un dominio maligno. Sin embargo, con la nueva táctica, “tienen la posibilidad de hacer una ataque redundante y descentralizado, propagar el malware a través de miles de páginas web legítimas alrededor del mundo”, sentencia esta división de IBM.
Además, quienes están detrás de Gumblar también han inyectado iframes en diversos foros, según se explica en un blog de ScanSafe.
Una vez que un ordenador es infectado, Gumblar también busca otras credenciales FTP que puede utilizar para comprometer otras páginas web. También ataca el navegador Internet Explorer, reemplazando los resultados de las búsquedas en Googel con otras de sus páginas web, lo que IBM considera un fraude por clic.
No hay comentarios:
Publicar un comentario