Un ataque de inyección masivo afecta a miles de sitios web

Acabamos de empezar el año y ya se ha producido una infección global. Así lo ha revelado el sistema de telemetría de Symantec, que ha registrado picos significativos en detecciones en su Sistema de prevención de intrusiones (IPS) de la firma Web Attack: Mass Injection Website 19, la cual se utiliza para detectar cuando un script oculto inyectado en un sitio web comprometido es utilizado para redirigir a los usuarios a un sitio web que aloja código malicioso.
Symantec identificó miles de sitios web que han sido inyectados con código script para redirigir a código de scripting adicional. De los sitios web comprometidos, el 75% se encuentra en Estados Unidos y son de una gran variedad de organizaciones, incluyendo sitios web de empresas, de instituciones educativas y del gobierno.
Todos los sitios web comprometidos que se han investigado utilizan un sistema de gestión de contenidos común. Es más que probable que los atacantes estén utilizando scripts automatizados para escanear estos sitios web a fin de explotar de forma automática agujeros de seguridad y posiblemente inyectar código HTML malicioso en los sitios vulnerables. Una vez que una página comprometida ha cargado en el navegador del usuario, el script malicioso espera 10 segundos y luego ejecuta código JavaScript a distancia, que a su vez ejecuta scripts adicionales. Estas secuencias de comandos son capaces de recolectar información que incluye desde la dirección URL de la página que muestra el navegador a la versión de Shockwave Flash, el idioma del usuario, la resolución del monitor o la dirección IP del host.
Symantec no ha identificado ningún malware asociado a este ataque de inyección. En base a su análisis, la cadena de scripts no da lugar a ningún tipo de descarga maliciosa, por lo que es probable que los ataques sean una actividad de reconocimiento para aprender más acerca de los usuarios y utilizar esa información en un nuevo ataque.