En los últimos seis meses, dos millones de usuarios han sido blanco de ataques cibernéticos con exploits de Java y se detectaron más de 161 vulnerabilidades en JRE (Java Runtime Environment).
Kaspersky Lab ha publicado los resultados de su investigación sobre uno de los métodos más populares para infectar computadoras que aprovecha vulnerabilidades en el software legítimo. Según los investigadores, los exploits de Java son la herramienta más demandada por los cibercriminales: en los últimos 12 meses se detectaron más de 161 vulnerabilidades en JRE (Java Runtime Environment) y de marzo a agosto de 2013, Kaspersky Security Network registró ataques con exploits de Java, que afectaron a más de 2 millones de usuarios.
Durante la investigación, los expertos de Kaspersky Lab analizaron cómo las computadoras se infectaban con la ayuda de BlackHole Exploit Kit, uno de los más populares en el mercado, junto con Nuclear Pack, Styx Pack and Sakura. BlackHole Exploit incluye vulnerabilidades dirigidas a Adobe Reader, Adobe Flash Player, Oracle Java y otros programas famosos. Debido a que el funcionamiento de todos los paquetes de exploits se basa en el mismo algoritmo, los expertos de Kaspersky Lab recogieron tres exploits de Java de BlackHole para confirmar cómo trabajan estos paquetes de exploits.
El estudio también utilizó el caso BlackHole para demostrar cómo los componentes de seguridad pueden interactuar con códigos maliciosos en varias etapas, incluyendo la etapa en la que los exploits están dirigidosa vulnerabilidades específicas:
Bloqueo de la página de inicio del paquete exploit (es decir, la primera página del exploit pack después de que el usuario es redirigido a un sitio legal).
• Detección de archivos con antivirus (el usuario no llega, sin embargo, a la página de inicio del exploit pack).
• Detección basada en firmas exploit (en caso de que la solución de seguridad no detectara la página de inicio del exploit pack).
• Detección proactiva de exploits (se utiliza si todos los componentes de seguridad basados en firmas no detectan nada malicioso al escanear el contenido del paquete de exploits, y el exploit se las arregla para ponerse en marcha).
• Detección de descargas maliciosas (si el exploit se las arregla para escapar a la detección, trata de descargar una carga maliciosa e instalarse en el ordenador de la víctima).
“Hoy en día, si un ciberdelincuente quiere infectar computadoras con una modificación del troyano ZeuS, todo lo que debe hacer es comprar un paquete de exploits preparados, configurarlos y atraer el mayor número posible de víctimas potenciales a su página de destino. El problema de los “blackhole” sigue siendo importante, a pesar de algunos estudios sobre el mecanismo de infección de los paquetes de exploits y soluciones integrales que ofrecen las empresas de seguridad. En el caso de Java, el fabricante de software es muy rápido en responder a las vulnerabilidades y a la hora de comunicar los parches generados. Sin embargo, los usuarios finales normalmente no se dan prisa al instalar las actualizaciones y los ciberdelincuentes toman la iniciativa mediante la creación de nuevos programas maliciosos para atacar las vulnerabilidades conocidas”, afirma Vyacheslav Zakorzhevsky, jefe del Grupo de Investigación de Vulnerabilidades de Kaspersky Lab.
Hasta ahora, los packs de exploits ofrecían a los ciberdelincuentes un sistema muy fiable para infectar computadoras que no tuvieran una solución de seguridad instalada. No es de extrañar que las infecciones a través de los paquetes de exploits sean un método muy utilizado entre los cibercriminales: es extremadamente difícil de detectar para un usuario desprevenido y sin protección.
Todo el proceso se inicia al redirigir al usuario a la página de destino del pack de exploits. Los ciberdelincuentes usan una amplia variedad de métodos para hacerlo, incluyendo mensajes de spam con enlaces a las páginas. Sin embargo, el caso más peligroso se da cuando los sitios legales están en peligro, y los códigos de script o iframes se inyectan en ellos. En tales casos, basta con que un usuario visite un sitio web para que el ataque drive-by se lance y el pack de exploits comience a trabajar clandestinamente.
Los ciberdelincuentes también pueden utilizar los sistemas de publicidad legítimos, banners de enlaces y teasers a páginas maliciosas. La única manera de evitar un ataque es asegurarse de que ninguno de los programas informáticos que necesita el exploit pack esté instalado en la computadora. Tan pronto como un usuario visita la página de destino, los ciberdelincuentes acceden a la información de esas computadoras, incluyendo la versión del sistema operativo, el navegador y los plugins instalados, configuraciones de idioma local, etc.
Francisco Carrasco, CIO America Latina