Nuevos Descubrimientos Revelan que la Mayoría de los Sitios Web Maliciosos Ahora son Sitios Legítimos, Cuya Seguridad se ha Visto Comprometida por Atacantes

Websense, Inc. (NASDAQ: WBSN) publicó un nuevo reporte que, por primera vez, revela que el número de sitios Web, cuya seguridad ha sido comprometida por los atacantes, ha superado al número de aquellos creados con ese propósito por los atacantes.

El reporte de Websense Security Labs™ resume las amenazas de seguridad de la segunda mitad del 2007. Los investigadores de Websense advierten a los usuarios de Internet tener cuidado cuando dan clic o visitan un sitio, incluso si es uno confiable y de sus favoritos. Estos sitios presentan un riesgo importante para las empresas, porque las medidas de seguridad tradicionales no están diseñadas para manejar estos ataques, y los atacantes usan técnicas avanzadas, como los resultados de las herramientas de búsqueda para conducir el tráfico a sitios infectados.

Los atacantes saben que los sitios comprometidos con reputación buena; es decir, sitios que cuentan con un gran grupo de visitantes, junto con correos electrónicos señuelo más efectivos pueden mejorar la efectividad de los ataques.

Por ejemplo, el 27 de agosto de 2007, Websense descubrió un ataque lanzado dentro del portal de SIDA de Asia-Pacífico de las Naciones Unidas, que demuestra cómo los atacantes, en un intento por elevar el índice de infección, alteran la seguridad de sitios Web legítimos, en vez de crear un sitio nuevo. En este caso, cuando los visitantes abrían el sitio Web de las Naciones Unidas, los usuarios sin protección descargaban sin darse cuenta un Troyano que infectaba su computadora con código malicioso. Las víctimas se convirtieron en participantes sin conocimiento en una red informática que los atacantes pueden usar para futuros ataques maliciosos, presentando un riesgo para usuarios de computadoras personales y en empresas.

Dan Hubbard, Vicepresidente de Investigación sobre Seguridad de Websense, mencionó: “Más y más atacantes comprometen la seguridad de sitios Web legítimos para infectar a los visitantes con códigos, y así robar información o agregar las máquinas de éstos a redes informáticas. Además, están incrementando la complejidad de sus métodos de ataque y construyendo infraestructuras resistentes como vimos el año pasado con los ataques del storm worm (Troyano).

Se cree que los atacantes continuarán con la creatividad, impulsarán las aplicaciones Web 2.0 y generarán contenido basado en el usuario para crear mayores problemas de seguridad para las empresas. Con esto en mente, las empresas necesitan asegurar su Red, las soluciones para seguridad de correo electrónico e información pueden proteger las vías que los hackers buscan explotar para obtener una ganancia financiera”.

El reporte muestra con claridad que los ataques
basados en eventos y en Web 2.0 aumentaron en la segunda mitad de 2007. La combinación de amenazas con múltiples vectores de ataque evadieron las tecnologías de seguridad basadas en reconocimiento de firma, como el anti-virus. En la segunda mitad de 2007, Websense aprovechó su incomparable visión de la Web y el correo electrónico, e identificó y mitigó con éxito varios intentos y ataques de alto perfil en la Web, entre los que se encuentran:

Ataque basado en Web 2.0 dirigido a usuarios de MySpace y sus amigos – El 13 de septiembre de 2007, Websense fue el primero en encontrar el ataque Web 2.0 “Phast Phlux Phishing” en MySpace, sitio popular de red social. Después de que MySpace anunció el incremento en las medidas para proteger a los usuarios de amenazas en línea, la seguridad de muchos usuarios se vio comprometida por este engaño que robó la información confidencial de registro de los usuarios con propósitos maliciosos. Una vez infectados, los perfiles de las víctimas de MySpace diseminaron el ataque de manera viral a través de las “listas de amigos”.

Aunque el dominio malicioso se originó en China, las computadoras personales de los navegadores de la Red, que sin querer participaron en este ataque, fueron los huéspedes más infectados.

· Troyano diseñado para robar información en Halloween – El 29 de octubre de 2007, Websense fue el primero en encontrar información sobre un Troyano que robaba información en forma de una tarjeta de felicitación de Halloween de Yahoo!, lanzado dos días antes de la festividad. Los atacantes engañaron a los usuarios que no contaban con la protección de seguridad adecuada para Web, al bajar código malicioso diseñado para robar información financiera importante, como contraseñas, tarjetas e información bancaria en línea.

Troyano para robar información gubernamental – El 3 de diciembre de 2007, Websense descubrió una nueva variante de ataque de correo electrónico, similar a los ataques antes lanzados, que alegaban ser del Servicio Fiscal de Estados Unidos (IRS por sus siglas en inglés) y del Better Business Bureau [Buró de Mejores Negocios]. El mensaje del correo electrónico mencionaba que se había registrado una queja en el Departamento de Justicia de Estados Unidos contra la empresa del remitente, e informaba al lector que se anexaba una copia de la queja original. La “copia” anexa era un Troyano para robar información.

Al momento del descubrimiento, ningún proveedor de anti-virus había detectado el código malicioso ni había protegido a los clientes.

Los investigadores de Websense Security Labs reunieron información sobre amenazas con la tecnología ThreatSeeker™ de Websense, que escanea más de 600 millones de sitios Web por semana en búsqueda de código malicioso, junto con Websense”s Hosted Security Services, que escanean más de 350 millones de correos electrónicos por semana en búsqueda de amenazas de seguridad. Esta tecnología única ha ayudado al equipo de investigación de Websense a encontrar varios ataques de alto impacto en la Web. Websense envía al día un promedio de 80 actualizaciones de seguridad en tiempo real (Real-Time Security Updates™) para proteger a más de 42 millones de empleados contra amenazas internas y externas de seguridad.

Puntos importantes adicionales del reporte de amenazas de seguridad de la segunda mitad de 2007

- Los atacantes intentaron perfeccionar la técnica de mezcla de amenazas: La segunda mitad del 2007 vio el uso de múltiples vectores de ataque para evadir la detección e incrementar la efectividad de los ataques. Por ejemplo, los autores de Storm Worm aumentaron su ataque al usar múltiples vectores, que incluyen: sistema de nombre de dominio (DNS por sus siglas en inglés), Web, semejante a semejante, encriptación y varias técnicas de evasión. Al usar varios vectores y técnicas dificultan la eliminación de los sitios maliciosos y evitan los brotes futuros.

- Además, Websense Security Labs observó que para comprometer la seguridad de sitios Web legítimos, los atacantes utilizaron en su mayoría spam para atraer a los usuarios a sitios Web maliciosos. De hecho, 65% de todos los correos no deseados contenían una liga a un sitio Web malicioso.