20-05-2009

En los últimos días la cantidad de sitios Web legítimos hackeados para hospedar malware ha aumentado significativamente, según refleja un análisis realizado por MessageLabs.

Los datos tomados por MessageLabs entre los días 4 y 8 de mayo muestran que el 84,6% de los sitios Web bloqueados por la compañía por hospedar contenido malicioso correspondía a dominios “bien establecidos” y operativos desde hace un año o más.

En el mismo período, el 10,2% de los dominios bloqueados tenían menos de doce años de operación y sólo un 3,1% llevaba funcionando menos de una semana.

A primera vista, estos datos parecen contradecir el presupuesto bastante común de que los websites maliciosos existen por lo general durante sólo unos días e incluso horas, dado que este corto período de vigencia permite evitar mejor los sistemas de detección y filtrado. Se trata de una estrategia basada en el rápido y continuo cambio, que mueve los sitios Web a través de un laberinto de subdominios ficticios.

Sin embargo, según MessageLabs, la explicación del fenómeno de la migración a los dominios genuinos para difundir malware responde en realidad que los hackers están migrando de este tipo de métodos, a los que la compañía denomina “fast-fluxing” (en continuo cambio) a utilizar una parte diferente del árbol de dominio.

“Los hackers, en este nuevo sistema, comprometen el DNS y añaden subdominios”, explica Paul Wood, experto de MessageLabs. “En este contexto, los usuarios deben asumir una mayor vigilancia y ser conscientes de que incluso los sitios que conocen y en los que confían pueden estar comprometidos mediante ataques como los de inyección SQL”.