Hackear el sitio web de una embajada para utilizarlo como punto de distribución de “malware” no es un fenómeno nuevo, ni tampoco el empleo del método de ataque por inyección iFrames.
La semana pasada, el sitio web de la embajada de la India en España estuvo distribuyendo malware a sus visitantes, a través de una inyección iFrames que conducía al archivo BKDR_TDSS.CG.
Los investigadores afirman que es muy probable que se produjera un ataque masivo por inyección de código y siguen analizando el archivo con el fin de identificar su comportamiento.
Según las primeras investigaciones, aparte del iFrame dañino, también se introdujo una gran cantidad de código en el sitio web de la embajada. Se encontraron numerosas etiquetas con cabeceras de texto ocultas que contenían enlaces hacia varios sitios web.
Los expertos han indicado que el sitio web de la embajada india no es el único que ha sufrido un ataque por inyección de código, apuntando la posibilidad de un ataque global y masivo. Además, han averiguado que estos códigos dañinos fueron cambiados periódicamente.
El código habría inyectado páginas similares a las entradas de un blog en los dominios de los sitios web comprometidos. Por tanto, se ha sugerido que podría ser un esquema SEO de envenenamiento o un complot para utilizar los dominios legítimos de los sitios web comprometidos para evadir los filtros spam.
Una investigación más profunda sobre la fuente revela que podría ser un anuncio fraudulento o un ataque masivo de malware en su fase inicial. Esto explicaría por qué algunas partes del ataque no parecen del todo funcionales. Sin embargo, una vez que el sitio web ya está comprometido, es solo cuestión de modificar las etiquetas para convertir la inyección de código aparentemente inofensiva en un auténtico ataque de malware.
La semana pasada, el sitio web de la embajada de la India en España estuvo distribuyendo malware a sus visitantes, a través de una inyección iFrames que conducía al archivo BKDR_TDSS.CG.
Los investigadores afirman que es muy probable que se produjera un ataque masivo por inyección de código y siguen analizando el archivo con el fin de identificar su comportamiento.
Según las primeras investigaciones, aparte del iFrame dañino, también se introdujo una gran cantidad de código en el sitio web de la embajada. Se encontraron numerosas etiquetas con cabeceras de texto ocultas que contenían enlaces hacia varios sitios web.
Los expertos han indicado que el sitio web de la embajada india no es el único que ha sufrido un ataque por inyección de código, apuntando la posibilidad de un ataque global y masivo. Además, han averiguado que estos códigos dañinos fueron cambiados periódicamente.
El código habría inyectado páginas similares a las entradas de un blog en los dominios de los sitios web comprometidos. Por tanto, se ha sugerido que podría ser un esquema SEO de envenenamiento o un complot para utilizar los dominios legítimos de los sitios web comprometidos para evadir los filtros spam.
Una investigación más profunda sobre la fuente revela que podría ser un anuncio fraudulento o un ataque masivo de malware en su fase inicial. Esto explicaría por qué algunas partes del ataque no parecen del todo funcionales. Sin embargo, una vez que el sitio web ya está comprometido, es solo cuestión de modificar las etiquetas para convertir la inyección de código aparentemente inofensiva en un auténtico ataque de malware.
IT Examiner (30-01-2009)
http://www.itexaminer.com/indian-embassy-website-serves-malware-in-spain.aspx
