Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
02/09/2013
Ocultando malware en los anuncios online para lanzar ciberataques
Las redes de anuncios online se podrían estar usando para enrolar a millones de usuarios inconscientes para llevar a cabo ataques a otros sitios web. según una demostración llevada a cabo este mes en la Conferencia de seguridad Black Hat celebrada en Las Vegas.
Los investigadores Jeremiah Grossman y Matt Johansen de WhiteHat Security escenificaron un ataque sobre un servidor Web de prueba simplemente pagando a dos redes de anuncios en línea para que mostraran anuncios traicioneros en páginas visitadas por cientos de miles de personas. Los anuncios incluían un sencillo código en JavaScript que hace que el navegador que carga el anuncio también acceda repetidas veces a una imagen en el servidor de prueba.
El servidor de prueba víctima de la demostración no tardó mucho en tener problemas debido a la sobrecarga sobrevenida. Durante la primera hora de la prueba, en la que solo se gastaron 2 dólares (un euro y medio aproximadamente) en anuncios, más de 130.000 conexiones de navegadores inundaron el servidor, que no tardó mucho más en descolgarse bajo la carga creciente de visitas.
JavaScript es un lenguaje de programación común que se usa en sitios web y anuncios para todo, desde crear características interactivas, hasta para hacer un seguimiento de cuándo la gente descarga o interactúa con una página. Aunque algunas redes de anuncios no permiten que se inserte JavaScript en los anuncios, muchas otras sí lo permiten porque es un lenguaje de uso muy frecuente. Las redes que sí permiten JavaScript no lo inspeccionan demasiado de cerca, explica Johansen, y en cualquier caso sería improbable que notaran algo sospechoso en su código.
"No pirateamos a nadie; aprovechamos el funcionamiento normal de la Web para atacar a nuestro propio servidor", explicó Johansen. "Simplemente nos dedicamos a descargar imágenes lo más rápido posible".
El servidor de prueba no estaba protegido por las herramientas especializadas que usan algunos sitios para defenderse de los denominados ataques de negación de servicio. Sin embargo, Johansen sostiene que el bajo coste de este tipo de ataques y el alcance de las redes en línea sugiere que sería fácil escalarlo. "No cuesta tanto dinero hacer daño de verdad a sitios reales en Internet".
Johansen y Grossman trabajan ahora en una demostración más audaz: usar el mismo enfoque para emplearlo como mano de obra para descifrar contraseñas encriptadas como las que se suelen robar de servicios en línea en ataques como el que sufrió LinkedIn a principios de este año. El código JavaScript se puede usar para trabajar sobre contraseñas, y Johansen afirma que sería fácil introducir ese código en un anuncio y conseguir que los usuarios web llevaran a cabo el trabajo necesario sin ser conscientes de ello.
Pueden ampliar esta noticia en el siguiente enlace.