La compañía de seguridad Trend Micro ha detectado un nuevo caso de espionaje web masivo en Italia, similar al que se llevó a cabo en junio de 2007 y que fue conocido como Italian Job, porque tuvo su punto de inicio en este país y se propagó a velocidades de vértigo infectando numerosos sitios web y a decenas de miles de usuarios de todo el mundo.
El nuevo ataque, bautizado como “Italian Job II”, afecta particularmente a las páginas web alojadas en Italia por un importante proveedor de hosting.
El dominio de los sitios puede ser de origen inglés, norteamericano, asiático o italiano, pero hasta ahora, todos los casos son de páginas en italiano y la mayoría tienen un dominio de esa nacionalidad.
Trend Micro ha descubierto dos formas utilizadas por los ciber-criminales para comprometer un site: una de ellas es inyectando un script oculto que redirecciona al usuario a determinadas URLs maliciosas, mientras que la segunda es mediante un iFRAME y el mismo script oculto.
A continuación, se ofrece un diagrama en el que se ilustra la forma de propagación de este ataque:
Algunos ejemplos de los sitios comprometidos incluyen desde la página del club de fans de Johnny Depp, hasta el site de la banda de música Pearl Jam, el sitio oficial de la cantante de pop de los 80 Sabrina (Salerno), el de Monica Bellucci o el club italiano de Mercedes-Benz.
El usuario, cuando visita una página comprometida, es redireccionado sin tener conocimiento de ello, a uno de los dos sitios maliciosos. Ambos dominios contienen los mismos scripts maliciosos que descargan y ejecutan variantes de SINOWAL. Los dos websites maliciosos están hospedados en una sola IP que se encuentra en San Diego (California). Trend Micro opina que en esta etapa los criminales que están detrás de este ataque pueden proceder de Europa Oriental.
De acuerdo con Raimud Genes, Director Técnico de Trend Micro, “este último ataque a páginas web italianas confirma que no hay ningún website susceptible de no ser atacado y pone de manifiesto que incluso los sites más desarrollados no están a salvo de sufrir una ataque. Esto es otro ejemplo de la astucia que los ciber-criminales emplean para embaucar a los usuarios y hacerles sus víctimas”.
Por su parte, Rick Ferguson de Trend Micro, apunta que “el objetivo de este último ataque masivo es infectar los sistemas del usuario final con el troyano SINOWAL, que permite el robo de contraseñas, y que fue diseñado de forma particular para hacerse con las credenciales de registro de los sitios bancarios. Estamos ante una etapa en la que las páginas web de prestigio están viendo como se pone en entredicho su reputación por los ataques de hackers, esto subraya la importancia de incorporar tecnologías de reputación web como medida de defensa”.
[tags]Códigos Maliciosos, Troyanos, Trend Micro[/tags]