Els blocs constitueixen una nova escletxa per la seguretat a Internet

Compartir

Durant el mes de setembre, Trend Micro va descobrir 1.899 blocs allotjats en un conegut servei de publicació de blocs que contenia iFrames maliciosos. Els ciber-criminals poden emprar Browser Helper Object (BHO) per instal·lar barres d’eines que poden gravar la seqüència de tecles que premen els usuaris.


Agències – Trend Micro ha descobert un nou mètode d’atac que cada vegada s’està estenent més entre els creadors de codi maliciós. Es tracta de la falsificació de blocs complets per instal·lar codi maliciós en els equips informàtics. En aquesta modalitat són els usuaris de llocs de blocs gratuïts els que es veuen afectats.

El procediment que segueixen no és altre que inserir iFrames maliciosos en els blocs. Així, els hackers poden dirigir als usuaris de blocs legítims a pàgines web de contingut pornogràfic. Aquí reciclen la vella tècnica de convèncer als usuaris de descarregar un “còdec”, que, al seu torn, resulta ser un Browser Helper Object, o arxiu DLL, que té accés virtualment il·limitat al navegador d’Internet de l’usuari.

L’amenaça definida

Els blocs han difuminat la línia que marcava la diferència entre els mitjans tradicionals i els nous a mesura que més gent s’hi dirigia. Ara els lectors consulten blocs per obtenir informació que fins no fa gaire temps només la televisió, els diaris i les revistes podien proporcionar. D’altra banda, la proliferació de bitàcoles escrites per blocaires independents ha contribuït enormement a aquest canvi. Després de tot, més varietat de contingut i d’informació signifiquen més opcions per als lectors en línia. Per la seva banda, les companyies de mitjans tradicionals també han adoptat els blocs per complementar el seu contingut.

Els autors de spam, sempre explorant noves formes d’arribar a la major quantitat d’usuaris possible, van veure aquí una mina i van començar a abusar també dels blocs. Ja en el 2005, els investigadors van encunyar els termes “splog” o “blam” per referir-se a llocs de blocs infectats que són dissenyats especialment per allotjar spam o promoure algunes pàgines de productes. Normalment infestaven aquests blocs amb textos sense sentit que havien estat presos d’altres fonts en línia.

Els splogs de mal gust i molestos contaminen els resultats dels motors de recerca. A més, si el seu volum arriba a una massa crítica, poden perjudicar l’ample de banda d’Internet. Les comunitats en línia els consideren una molèstia. A diferència d’aquests, també hi ha spam en els blocs, on els spammers publiquen contingut a les àrees comunes proporcionades per la majoria dels llocs de blocs.

Tot i això, els recents abusos han demostrat ser més perjudicials. Els autors de codi maliciós obren blocs i publiquen entrades per dirigir als usuaris que els visiten a altres llocs maliciosos. Aquests llocs poden contenir des de spam fins a spyware. Els autors de codi maliciós depenen aparentment de la suposada legitimitat del domini de blocs explotat, així que no necessiten anunciar les URLs malicioses en missatges de correu no desitjat, per exemple.

A mitjans d’aquest passat setembre, els investigadors de Trend Micro havien descobert aproximadament 1.899 blocs allotjats en un servei de publicació de blocs molt conegut que contenia iFrames maliciosos que redirigien als internautes a una web pornogràfica. En el moment d’accedir a un bloc hackejat, els usuaris eren dirigits automàticament a la web pornogràfica, i els autors de codi maliciós col·locaven enllaços en el mateix bloc com a suport per al cas que el readreçament no funcionés. Quan els usuaris feien clic a qualsevol dels vídeos que apareixen en aquest lloc, apareixia una finestra que demanava als usuaris descarregar un còdec.

Els còdecs de vídeo són màscares comunes per al codi maliciós com en el cas de les variants de ZLOB. En aquest cas, l’arxiu que es descarrega, s’instal·la i executa és un Troià identificat per Trend Micro com a TROJ_DROPPER.BX, que, al seu torn, descarrega una DLL maliciosa, TROJ_BHO.EZ.

TROJ_BHO.EZ s’instal·la com un browser helper object (BHO) que s’executa automàticament en cada inici de sessió. Les claus de registre creades són protegides pel sistema operatiu i mentre l’arxiu es descarrega a la memòria, la seva eliminació en el mode normal cal coneixement professional. Els Browser Helper Objects (BHO) són mòduls DLL que ofereixen funcionalitat addicional a Internet Explorer. Els BHOs legals poden ajudar als usuaris a obtenir la informació desitjada de manera més ràpida i en el format que prefereixin. Les barres d’eines com Google o el reproductor Adobe Flash són exemples de BHOs legals i vàlids.

Malgrat tot, en aquest i molts altres casos il·legals, aquests mòduls DLL són aprofitats pels autors de codi maliciós. L’atac és tècnicament senzill, ja que poden tenir accés i controlar la navegació de pàgines obertes en un navegador usant els drets dels usuaris normals. Essencialment es converteixen en plug-ins del navegador. Els ciber-criminals poden utilitzar BHOs per instal·lar barres d’eines que podrien gravar la seqüència de tecles polsades pels usuaris. Les companyies en línia també podrien instal·lar BHOs per permetre’ls desplegar anuncis molestos.

Curiosament la URL a la qual la pàgina de blocs porta està en blanc. Resulta que els hackers que estan darrere d’aquest atac van cometre un error de codificació en assignar el domini de la URL de descàrrega. Aquest error va arruïnar la suposada ofensiva, però els usuaris segueixen sent vulnerables si un hacker està al corrent d’aquest exemple.

Aquestes URLs per si mateixes són legítimes. Això complica el problema, doncs podria no haver-hi una forma automàtica de separar blocs falsos dels legítims. Un informe de McCann indica que el nombre d’usuaris de blocs de tot el món segueix creixent i l’Estat Espanyol és un dels països on s’està registrant un increment més gran tant pel que fa a aparició de nous blocs com d’usuaris. Incloent els mateixos blocaires, gairebé un 63% dels usuaris d’Internet de tot el món accedeixen de manera rutinària a blocs personals.

Riscos i exposició dels usuaris

Els usuaris que no compten amb protecció corren el risc d’infectar-se amb una àmplia gamma d’amenaces que possiblement estan allotjades a la pàgina final a la qual porta aquest atac. En aquest cas en particular, TROJ_BHO.EZ crea entrades del registre que l’instal·len com un BHO. Monitoritza els hàbits de navegació per lliurar “contingut publicitari rellevant”. Aquestes pàgines no sol·licitades afecten l’òptima experiència de navegació de l’usuari.

La reputació de les companyies de publicació de blocs també es pot veure afectada per aquests atacs, ja que els blocs porten a URLs malicioses i els usuaris poden suposar que els dominis del bloc també són maliciosos.

Solucions i recomanacions de Trend Micro

Trend Micro compta amb una àmplia varietat de solucions que blinden els equips dels usuaris. Així, Trend Micro Smart Protection Network ofereix protecció més intel·ligent enfront dels mètodes convencionals i bloqueja les amenaces més recents abans que afectin a l’usuari. Emprada per les solucions i serveis de Trend Micro, Smart Protection Network combina tecnologies “in-the-cloud” ú
niques i una arquitectura de client lleuger per protegir de manera immediata i automàtica la seva informació des d’on sigui que es connecti.

Així mateix, Smart Protection Network també proporciona una altra capa de defensa, a través de la tecnologia Web Reputation de Trend Micro, que identifica els llocs Web maliciosos o perillosos coneguts i bloqueja l’accés dels usuaris en funció del nivell de reputació dels dominis. Per la seva banda, la tecnologia File Reputation avalua la integritat de tots els arxius descarregats sense saber-ho als ordinadors. Detecta i elimina TROJ_DROPPER.BX, TROJ_BHO.EZ i altres amenaces perilloses. La tecnologia de correlació “in-the-cloud” amb anàlisis de comportament troba associacions entre les combinacions d’activitats perilloses per determinar si són part d’un atac maliciós general.

En els següents enllaços de Trend Micro pot trobar comentaris del bloc sobre Codi Maliciós que parlen dels recents atacs de spam:

http://blog.trendmicro.com/fake-blogs-lead-to-fake-porn/

http://blog.trendmicro.com/splog21-blam21

http://blog.trendmicro.com/fake-bebo-profiles-spam-early-spam-often/

Si voleu consultar les descripcions tècniques del codi maliciós relacionat amb aquest, podeu visitar:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_DROPPER.BX

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BHO.EZ

Si voleu consultar el de McAnn:

http://www.universalmccann.com/Assets/wave_3_20080403093750.pdf

Guillem Alsina